Kwetsbaarheden in Veeam Backup & Replication maken op afstand uitvoeren van code mogelijk
Veeam Backup & Replication bevat twee kwetsbaarheden die het mogelijk maken op afstand code uit te voeren. De lekken kunnen worden uitgebuit door gebruikers die toebehoren aan de local user-group op de Windows-host van de Veeam server. Indien de server is toegevoegd aan het domein, kunnen alle gebruikers van dit domein de kwetsbaarheden uitbuiten. Een patch die de problemen verhelpt is inmiddels beschikbaar.
Hiervoor waarschuwt Watchtowr. De kwetsbaarheden zijn volgens het beveiligingsbedrijf terug te leiden naar een breder probleem in het deserialisatiemechanismen van Veeam. De onderzoekers hekelen het gebruik van een blacklist door Veeam voor het blokkeren van deserialisatieproblemen. Zij stellen dat het bedrijf juist een whitelist zou moeten hanteren.
"Als branche weten we dat ongecontroleerde deserialisatie altijd tot problemen leidt. Dit is waarom je altijd strenge controle moet implementeren op de klassen die worden gedeserialiseerd. Ideaal gezien zou dit een whitelist moeten zijn die alleen de deserialisatie van geselecteerde klassen toestaat. Hoewel de Veeam-oplossing in kwestie dit technisch gezien doet, leidt een van de toegestane klassen tot interne deserialisatie, die vervolgens een controle op basis van een blacklist implementeert", schrijft het bedrijf.
Te koppelen aan eerder ontdekt lek
De ontdekte lekken (beide omschreven als CVE-2025-23120 zijn volgens Watchtowr te koppelen aan de in september 2024 ontdekte kwetsbaarheid CVE-2024-40711, waarmee eveneens op afstand code uitgevoerd kan worden. Ook wijst het bedrijf op een verband met CVE-2024-42455, die geauthenticeerde gebruikers de mogelijkheid geeft onveilige deserialisatie uit te buiten. Watchtowr waarschuwt dat kwaadwillenden dergelijke kwetsbaarheden relatief eenvoudig kunnen identificeren door de codebase van Veeam Backup & Replication te zoeken naar deserialisatiegadgets die niet op de blacklist zijn opgenomen. Het nam de proef op de som en ontdekte zo de twee kwetsbaarheden.De kwetsbaarheden zijn alleen uit te buiten indien een aanvaller zich succesvol weet te authenticeren. Watchtowr stelt echter dat de authenticatievereisten van Veeam Backup & Replication niet sterk zijn, waardoor de lekken desondanks een flink risico opleveren. De kwetsbaarheden zijn verholpen in Backup & Replication version 12.3.1.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
