Los investigadores instan a los usuarios de Veeam Backup & Replication a asegurarse de que sus sistemas estén completamente actualizados a la última versión después de la compañía lanzado un parche Martes para abordar una falla crítica de ejecución de código remoto.
La vulnerabilidad, rastreada como CVE-2025-23121permite que un usuario de dominio autenticado ejecute código en un servidor de copia de seguridad.
Investigadores de WatchTowr y el código White GmbH reveló previamente que un parche para abordar una vulnerabilidad anterior, rastreado como CVE-2025-23120podría ser omitido. Esa divulgación condujo al desarrollo del nuevo parche.
Veeam está actualizando efectivamente una lista negra de «gadgets de deserialización peligrosos» después de haber sido reportados, según el CEO de WatchTowr, Benjamin Harris. Los investigadores han visto que esto sucede repetidamente durante numerosos parches desplegados para el producto de copia de seguridad y replicación, agregó Harris.
«Como defendimos en marzo, este enfoque de la lista negra nunca será suficiente», dijo Harris dijo CyberseCurity Dive por correo electrónico, y agregó que su equipo «demostró (esto) una vez más en marzo cuando informamos más dispositivos a Veeam que han publicado parches para (el martes) para abordar».
Veeam dijo que el parche aborda la vulnerabilidad y las actualizaciones automáticas se han habilitado para todas las versiones de copia de seguridad.
«Cuando se identifica y revela una vulnerabilidad, los atacantes aún tratarán de explotar y el ingeniería inversa de los parches para usar la vulnerabilidad en una versión sin parpadear del software Veeam en sus intentos de explotación», dijo un portavoz de Veeam a Cybersecurity Dive por correo electrónico. «Esto subraya la importancia de garantizar que los clientes estén utilizando las últimas versiones de todos los software y parches se instalan de manera oportuna».
Veeam Backup & Replication es una herramienta que ayuda a hacer una copia de seguridad, replicar y restaurar los datos de la compañía en caso de un ataque de ransomware u otra intrusión maliciosa.
El riesgo implica el abuso de servidores de respaldo unidos por dominio que Veeam ha aconsejado previamente que no use. Sin embargo, parece que la práctica riesgosa se usa a menudo para fines de eficiencia.
Harris explicó que Veeam utiliza una función para procesar datos que se sabe que son inherentemente inseguros, y ha decidido que, en lugar de eliminar esta función, intentarán mantener una lista de «gadgets» malos que no se debe permitir que se procesen dentro de esta función.
Veeam tiene una gran base de clientes de más de 550,000 usuarios, y los grupos de ransomware han vulnerabilidades con frecuencia en el producto. Los investigadores de Rapid7 dijeron el martes que Más del 20% de la respuesta a incidentes de la compañía Los casos en 2024 implicaron que se accediera o explotara a Veeam.
