Veeam heeft meerdere beveiligingsproblemen opgelost in zijn Backup & Replication-platform. Daaronder zitten vier kritieke kwetsbaarheden die aanvallers in staat kunnen stellen om op afstand code uit te voeren op back-upservers.
Backup & Replication wordt veel gebruikt in bedrijfsomgevingen voor het maken en herstellen van back-ups. IT-teams gebruiken de software om kopieën van belangrijke gegevens te bewaren, zodat systemen snel kunnen worden hersteld na cyberaanvallen of hardwareproblemen.
Drie van de kwetsbaarheden maken het mogelijk dat domeingebruikers met beperkte rechten op afstand code uitvoeren op een kwetsbare server, geeft BleepingComputer aan. Deze beveiligingslekken zijn geregistreerd als CVE-2026-21666, CVE-2026-21667 en CVE-2026-21669. Volgens Veeam vereisen deze aanvallen relatief weinig complexiteit, waardoor het risico op misbruik groter kan zijn in omgevingen met meerdere domeingebruikers.
Daarnaast is een vierde kritieke fout opgelost, geregistreerd als CVE-2026-21708. Deze kwetsbaarheid stelt een gebruiker met de rol Backup Viewer in staat om code uit te voeren met de rechten van de postgres-gebruiker.
Naast de kritieke problemen heeft Veeam ook meerdere beveiligingslekken met hoge ernst verholpen. Deze konden worden gebruikt om hogere rechten te verkrijgen op Windows-servers waarop Backup & Replication draait. Ook was het mogelijk om opgeslagen SSH-inloggegevens te bemachtigen en beperkingen te omzeilen die normaal voorkomen dat willekeurige bestanden in een back-uprepository worden aangepast.
De kwetsbaarheden werden ontdekt tijdens interne beveiligingstests of gemeld via het bug bounty-platform HackerOne. Ze zijn opgelost in Veeam Backup & Replication versie 12.3.2.4465 en versie 13.0.1.2067.
Veeam dringt aan op snelle updates
Veeam benadrukt dat het belangrijk is updates snel te installeren. Zodra details over een kwetsbaarheid en de bijbehorende patch openbaar worden, proberen aanvallers vaak te analyseren hoe de patch werkt. Op basis daarvan kunnen ze systemen aanvallen die nog niet zijn bijgewerkt. Volgens het bedrijf onderstreept dit hoe belangrijk het is dat organisaties hun software up-to-date houden en beveiligingsupdates direct installeren.
Back-upservers zijn al langer een aantrekkelijk doelwit voor ransomwaregroepen. Omdat deze systemen vaak toegang hebben tot grote hoeveelheden data en een centrale rol spelen in herstelprocessen, kunnen aanvallers er meerdere doelen mee bereiken. Ze kunnen zich sneller door een netwerk verplaatsen, data stelen en herstel bemoeilijken door back-ups te verwijderen of te manipuleren.
In het verleden zijn verschillende aanvallen gelinkt aan kwetsbaarheden in Veeam-software. Zo werd de cybercrimegroep FIN7 in verband gebracht met aanvallen op Veeam-omgevingen. Ook de Cuba-ransomwaregroep maakte volgens eerdere rapporten gebruik van dergelijke zwakke plekken.
Incident responders van Sophos meldden daarnaast in 2024 dat de Frag-ransomware een eerdere kwetsbaarheid in Veeam Backup & Replication misbruikte. Diezelfde fout werd ook gebruikt in aanvallen met Akira- en Fog-ransomware.
Veeam meldt dat zijn oplossingen wereldwijd door meer dan 550.000 organisaties worden gebruikt. Daaronder vallen veel grote bedrijven, waaronder een aanzienlijk deel van de Global 2000 en Fortune 500. Voor organisaties die afhankelijk zijn van de software blijft het daarom essentieel om updates en patches snel door te voeren.