Veeam, czyli jeden z najpowszechniejszych produktów do tworzenia i odtwarzania kopii zapasowych w środowiskach korporacyjnych, załatał pilnie kilka poważnych luk bezpieczeństwa w swoim oprogramowaniu Backup & Replication v13, w tym krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE). Błędy te potencjalnie pozwalają atakującemu przejąć kontrolę nad serwerem kopii zapasowych, co może mieć katastrofalne skutki dla organizacji, które bazują na Veeam w swojej strategii ochrony danych.

Autor: 4 min czytania

Co się wydarzyło?

6 stycznia 2026 roku Veeam opublikował aktualizację bezpieczeństwa dla swojego flagowego oprogramowania Backup & Replication (build 13.0.1.1071), która naprawia cztery poważne podatności wpływające na wszystkie wcześniejsze wersje v13.

Najważniejsza z nich to CVE-2025-59470 – zdalne wykonanie kodu (RCE)

  • Ocena CVSS: 9.0 (bardzo poważna)
  • Wpływ: użytkownik z rolą Backup Operator lub Tape Operator może wykonać zdalnie kod z uprawnieniami użytkownika postgres, wysyłając spreparowane parametry (np. interval lub order).
  • Zakres: dotyczy Backup & Replication 13.0.1.180 i starszych buildów.

Pozostałe podatności załatane w tej aktualizacji

Poza głównym RCE łatki usuwają również:

CVE-2025-55125 (CVSS 7.2):

  • umożliwia zdalne wykonanie kodu jako root, jeśli atakujący tworzy spreparowany plik konfiguracyjny backupu,
  • wymaga uprawnień Backup lub Tape Operator.

CVE-2025-59468 (CVSS 6.7):

  • pozwala użytkownikowi z rolą Backup Administrator na wykonanie kodu jako postgres przez złośliwy parametr hasła.

CVE-2025-59469 (CVSS 7.2):

  • pozwala użytkownikowi z rolą Backup lub Tape Operator na zapis plików z uprawnieniami root.

Dlaczego to takie groźne?

Zapewnienie integralności i niezawodności backupów jest fundamentem strategii odzyskiwania po awarii oraz ochrony przed ransomware. Jeśli atakujący zdoła wykonać kod na serwerze Veeam, może:

  • usuwać lub modyfikować backupy,
  • wdrożyć ransomware, który szyfruje dane i backupy jednocześnie,
  • przejąć pełną kontrolę nad infrastrukturą kopii zapasowych.

Historycznie ataki ransomware, takie jak Frag, Akira czy Cuba, wykorzystały wcześniejsze luki w produktach Veeam do sabotowania procesów backupowych, zanim technologia została zaktualizowana.

Szczegóły techniczne wykorzystania podatności CVE-2025-59470

Podatność wynika z niewystarczającej walidacji danych wejściowych w jednym z modułów aplikacji (np. w komponentach odpowiadających za składnię parametrów w zadaniach backupowych). Dlatego atakujący, który posiada już dostęp z odpowiednią rolą w systemie (np. Backup Operator), może:

  1. wysłać złośliwe dane wejściowe do funkcji analizujących parametry zadań backupowych,
  2. wstrzyknąć kod, który zostanie wykonany jako proces Veeam działający z uprawnieniami postgres,
  3. uzyskać faktyczną kontrolę nad serwerem backupów, z poziomu konta usługi.

Rekomendacje

  1. Natychmiast zaktualizuj wszystkie instancje Veeam Backup & Replication do wersji 13.0.1.1071 lub nowszej.
  2. Przejrzyj role użytkowników i ogranicz liczbę kont z rolami Backup Operator oraz Tape Operator do niezbędnych.
  3. Monitoruj i audytuj logi systemowe oraz podejrzane aktywności w środowisku Veeam.
  4. Stosuj zasadę najmniejszych uprawnień i separację środowisk backupowych od środowiska produkcyjnego.

Podsumowanie

Aktualizacja Veeam z 6 stycznia 2026 r. to ważna łatka bezpieczeństwa, którą należy wdrożyć niezwłocznie, zwłaszcza w środowiskach korporacyjnych i krytycznych dla działalności. Pomimo że atak wymaga uprzywilejowanej roli, konsekwencje niezałatanych systemów mogą być katastrofalne – od utraty danych po całkowite przejęcie infrastruktury backupowej.