A Veeam lançou hoje uma atualização de segurança de emergência para corrigir várias falhas de segurança no seu popular software Veeam Backup & Replication (VBR), incluindo uma vulnerabilidade crítica de execução remota de código (RCE) que pode dar aos atacantes controlo total sobre os servidores de backup.
A falha mais grave, registada como CVE-2025-23121, foi descoberta por investigadores de segurança das empresas watchTowr e CodeWhite. O seu perigo reside na simplicidade com que pode ser explorada, afetando especificamente as instalações do VBR que estão associadas a um domínio do Windows.
Um risco elevado para redes empresariais
Conforme explica a Veeam num aviso de segurança publicado esta terça-feira, a vulnerabilidade permite que qualquer utilizador autenticado no domínio, mesmo um com baixos privilégios, execute código remotamente no servidor de backup. Esta falha afeta as versões 12 e posteriores do Veeam Backup & Replication, tendo sido corrigida na versão 12.3.2.3617, disponibilizada hoje.
Apesar das melhores práticas da Veeam recomendarem que os servidores de backup sejam isolados numa floresta de Active Directory separada e protegidos com autenticação de dois fatores, muitas empresas ignoram este conselho. Ao juntar os seus servidores de backup ao domínio principal, criam um ponto único de falha que os atacantes estão ansiosos por explorar.
Servidores Veeam continuam a ser um alvo prioritário para ransomware
Os servidores de backup são a joia da coroa para os grupos de ransomware. Conforme admitido por estes grupos à publicação BleepingComputer há vários anos, o seu primeiro passo num ataque é quase sempre encontrar e comprometer o software de backup. Ao fazê-lo, conseguem eliminar as cópias de segurança, o que impede a recuperação dos sistemas e aumenta drasticamente a pressão para que as vítimas paguem o resgate.
Este não é um incidente isolado. O historial recente mostra um padrão preocupante de ataques a produtos Veeam:
- Em março deste ano, a Veeam corrigiu uma falha semelhante (CVE-2025-23120) que também afetava instalações ligadas a um domínio.
- Uma outra vulnerabilidade (CVE-2024-40711), revelada em setembro de 2024, está a ser ativamente explorada para distribuir o ransomware Frag, segundo revelaram os analistas da Sophos X-Ops.
- A mesma falha foi usada em ataques dos grupos de ransomware Akira e Fog desde outubro do ano passado.
- No passado, grupos conhecidos como Cuba e FIN7, este último com ligações aos infames Conti e REvil, também foram observados a explorar vulnerabilidades do VBR.
Com uma base de mais de 550.000 clientes a nível mundial, incluindo 82% das empresas da Fortune 500, a urgência de aplicar esta atualização não pode ser subestimada. Recomenda-se que todos os administradores de sistemas verifiquem as suas instalações e apliquem o patch mais recente de imediato.
Nenhum comentário
Seja o primeiro!