Salta al contenuto principale


Vulnerabilità critiche in Veeam Backup! Un rischio di compromissione totale dei sistemi


Una vulnerabilità estremamente grave è stata recentemente scoperta in Veeam Backup & Replication, una delle soluzioni di backup più utilizzate in ambienti enterprise e non.. Se sfruttata, consente a un utente autenticato su Active Directory di eseguire codice arbitrario da remoto con privilegi SYSTEM, mettendo potenzialmente a rischio l’intera infrastruttura IT.

La vulnerabilità è tracciata come CVE-2025-23121, ha ricevuto un punteggio CVSS 9.9 (quasi massimo) ed è stata emessa diverso tempo fa, la quale colpisce tutte le versioni precedenti alla 12.3.1. Tale vulnerabilità è stata risolta con la versione 12.3.2, rilasciata da Veeam ma ancora molti apparati risultano privi di patch esponendoli a potenziali compromissioni.

Dettagli tecnici della vulnerabilità (CVE-2025-23121)

  • Componente vulnerabile: backend RPC/API interne di Veeam
  • Condizione necessaria: autenticazione su Active Directory con un account standard di dominio
  • Vettore di attacco: invio di richieste appositamente costruite ai servizi interni di Veeam, sfruttando autorizzazioni mal configurate (es. tramite pipe nominate, API locali, gRPC)
  • Impatto potenziale: Esecuzione di comandi arbitrari con privilegi SYSTEM, manipolazione dei job di backup, accesso non autorizzato a repository e snapshot, movimentazione laterale in ambienti AD


Scoperta e contesto


La vulnerabilità è stata identificata dai ricercatori di CodeWhite e watchTowr, già noti per le loro analisi avanzate sui prodotti enterprise. Secondo il report, il bug è strettamente collegato — o addirittura derivato — da una falla precedente, la CVE-2025-23120, chiusa a marzo 2025 ma aggirabile da un attaccante esperto.

Sebbene al momento non esistano PoC pubblici, la probabilità di un exploit in-the-wild è concreta. Le vulnerabilità Veeam sono storicamente molto ambite, come dimostrato dalla CVE-2023-27532, poi inclusa in tool offensivi privati usati da gruppi ransomware.

Altre vulnerabilità risolte nella versione 12.3.2


CVE-2025-23120 — Privilege Escalation da Backup Operator (CVSS 6.1)
Consente a un utente con ruolo “Backup Operator” di modificare job esistenti, impostare script post-job o destinazioni alterate, inducendo il server a eseguire codice arbitrario con privilegi elevati.

Scenario d’attacco:
1. L’attaccante crea o modifica un job inserendo un payload.
2. Il job viene eseguito da un servizio Veeam che gira come SYSTEM.
3. Il codice viene eseguito con privilegi amministrativi → escalation locale.

CVE-2025-2428 — Scrittura arbitraria su directory Veeam
A causa di permessi NTFS errati, un utente locale non admin può scrivere su directory monitorate da processi elevati, abilitando tecniche come DLL hijacking.

Tecnica sfruttabile:
– Un attaccante piazza una DLL malevola in una directory Veeam.
– Il processo SYSTEM carica la DLL all’avvio.
– L’attaccante ottiene esecuzione privilegiata e persistenza.

Implicazioni per la sicurezza aziendale


I server Veeam rappresentano obiettivi ad alto valore per gli attaccanti, poiché:
– Operano con privilegi SYSTEM
– Accedono a volumi di rete, NAS, repository cloud e host VM
– Gestiscono credenziali critiche per workload e backup
– Sono fondamentali nei piani di continuità operativa

Una compromissione di Veeam può:
– Rendere invisibile l’attacco usando snapshot o backup alterati
– Distruggere copie di backup o disattivarne l’esecuzione
– Abilitare ransomware su larga scala
– Consentire persistence anche dopo la rimozione del malware

Raccomandazioni operative


Aggiornamento urgente
– Installare Veeam Backup & Replication 12.3.2 su tutti i server e agent
– Testare l’update in ambiente di staging prima della distribuzione in produzione

Controllo degli accessi
– Rivedere i ruoli assegnati (in particolare “Backup Operator”)
– Limitare l’accesso al server Veeam a utenti e amministratori autorizzati
– Rimuovere o disabilitare account inutilizzati o obsoleti

Audit e hardening
– Analizzare i permessi NTFS delle directory Veeam
– Isolare il server backup in una VLAN dedicata
– Monitorare le richieste RPC e i processi Veeam con strumenti EDR

Protezione dei backup
– Verificare che esistano copie replicate offsite o in cloud
– Usare repository con WORM (Write Once Read Many)
– Validare che le credenziali nei job siano aggiornate e cifrate

Conclusioni


La CVE-2025-23121 rappresenta una minaccia critica per qualsiasi organizzazione che utilizzi Veeam in produzione. La sua combinazione di RCE, escalation e accesso privilegiato ai dati la rende un vettore ideale per attacchi mirati, ransomware e compromissioni su larga scala. L’aggiornamento a Veeam 12.3.2 è pertanto urgente e deve essere affiancato da una revisione completa della postura di sicurezza legata al backup.

L'articolo Vulnerabilità critiche in Veeam Backup! Un rischio di compromissione totale dei sistemi proviene da il blog della sicurezza informatica.