A Veeam lançou um conjunto de atualizações de segurança urgentes para colmatar várias vulnerabilidades no seu software Backup & Replication, incluindo uma falha crítica que permite a execução remota de código (RCE). A empresa alerta os administradores de sistemas para a necessidade de atualizar imediatamente as suas infraestruturas, dado o histórico de ataques direcionados a esta plataforma.
Vulnerabilidade permite execução de código como utilizador postgres
A falha mais grave, identificada como CVE-2025-59470, afeta a versão 13.0.1.180 do Veeam Backup & Replication e todas as compilações anteriores da versão 13. Esta vulnerabilidade permite que um atacante com as funções de "Backup Operator" ou "Tape Operator" execute código remotamente no servidor com privilégios de utilizador postgres.
A exploração ocorre através do envio de um parâmetro de ordem ou intervalo malicioso, conforme detalhado no boletim de segurança oficial. Embora a natureza da falha seja crítica, a Veeam ajustou a classificação de gravidade para "Alta". A empresa justifica esta decisão pelo facto de a exploração exigir que o atacante já possua credenciais associadas a funções de operação de backup, que são, por si só, cargos de privilégio elevado e que devem estar protegidos.
Para resolver este problema, a Veeam disponibilizou a versão 13.0.1.1071 no dia 6 de janeiro. Esta atualização corrige também outras duas vulnerabilidades: a CVE-2025-55125 (classificada como alta), que permite a execução de código através de ficheiros de configuração de backup maliciosos, e a CVE-2025-59468 (média), relacionada com o envio de parâmetros de palavra-passe manipulados.
Alvo preferencial de grupos de ransomware
O software Veeam Backup & Replication é uma ferramenta essencial para a recuperação de desastres em grandes empresas e fornecedores de serviços, contando com mais de 550.000 clientes em todo o mundo. Esta popularidade torna a plataforma um alvo prioritário para o cibercrime.
Grupos de ransomware como o Cuba e o FIN7 têm visado historicamente vulnerabilidades no software da Veeam. O objetivo é duplo: utilizar o servidor de backup como um ponto de entrada para se movimentarem lateralmente na rede da vítima e, crucialmente, eliminar as cópias de segurança antes de encriptar os dados, impedindo assim a recuperação sem o pagamento do resgate.
Mais recentemente, incidentes registados em novembro de 2024 revelaram que o ransomware Frag explorou outra vulnerabilidade RCE (CVE-2024-40711) divulgada apenas dois meses antes. Falhas de segurança semelhantes foram também utilizadas em ataques protagonizados pelos grupos Akira e Fog, sublinhando a importância de manter estas ferramentas de infraestrutura crítica sempre atualizadas.
Nenhum comentário
Seja o primeiro!