Veeam telah merilis pembaruan keamanan untuk menambal kelemahan keamanan Pencadangan & Replikasi penting yang dapat dieksploitasi untuk mendapatkan eksekusi kode jarak jauh (RCE) pada server cadangan yang bergabung dengan domain.
Kerentanan (dilacak sebagai CVE-2026-44963 dan dilaporkan oleh peneliti keamanan WatchTowr Sina Kheirkhah) memengaruhi Veeam Backup & Replication (VBR) 12.3.2.4465 dan semua versi 12 versi sebelumnya, dan telah diperbaiki pada versi 12.3.2.4854.
Meskipun setiap pengguna domain dengan hak istimewa rendah dapat mengeksploitasi kerentanan ini, kelemahan ini hanya berdampak pada instalasi Veeam Backup & Replication yang digabungkan ke domain.
“Kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) di Server Cadangan oleh pengguna domain yang diautentikasi,” Veeam kata dalam penasehat hari Selasa. “Kerentanan ini tidak memengaruhi Veeam Backup & Replication versi 13.x apa pun karena perubahan arsitektur yang dimulai pada versi 13.”
Namun, sayangnya, banyak perusahaan telah menggabungkan server Veeam mereka ke domain Windows, mengabaikan server Veeam praktik terbaik yang sudah lama ada.
Meskipun tidak ada laporan mengenai eksploitasi aktif, Veeam memperingatkan bahwa penyerang sering kali mulai mengembangkan eksploitasi segera setelah patch dirilis.
“Penting untuk dicatat bahwa setelah kerentanan dan patch terkait terungkap, penyerang kemungkinan akan mencoba merekayasa balik patch tersebut untuk mengeksploitasi penerapan perangkat lunak Veeam yang belum dipatch,” tambah perusahaan tersebut. “Kenyataan ini menggarisbawahi pentingnya memastikan bahwa semua pelanggan menggunakan versi terbaru perangkat lunak kami dan menginstal semua pembaruan dan patch tanpa penundaan.”
Sering menjadi sasaran serangan ransomware
Geng Ransomware punya mengatakan kepada BleepingComputer di masa lalu bahwa mereka selalu menargetkan server cadangan Veeam karena hal ini memungkinkan mereka mencuri data sensitif, berpindah ke dalam jaringan yang dilanggar, dan memblokir upaya pemulihan dengan menghapus cadangan korban.
Dalam beberapa tahun terakhir, Badan Keamanan Siber dan Infrastruktur (CISA) telah menandai empat kelemahan Veeam Backup & Replication seperti yang dieksploitasi secara aktif dalam serangan, yang semuanya telah disalahgunakan oleh geng ransomware.
Misalnya, pada November 2024, Sophos X-Ops melaporkan beberapa operasi ransomware, termasuk Akira, KabutDan pecahan geng, telah mempersenjatai kelemahan kritis VBR RCE lainnya (CVE-2024-40711).
Yang bermotivasi finansial FIN7 kelompok ancaman (yang sering berkolaborasi dengan kelompok ransomware Maze, Egregor, Conti, REvil, dan BlackBasta) dan Geng ransomware Kuba keduanya juga telah dikaitkan dengan serangan yang menargetkan kelemahan keamanan VBR.
Produk Veeam digunakan oleh lebih dari 550.000 pelanggan di seluruh dunia, termasuk 82% perusahaan Fortune 500 dan 74% dari 2.000 perusahaan Global.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
