Neben den vier kritischen RCE-Lücken hat Veeam mehrere Schwachstellen mit hohem Schweregrad behoben. Diese lassen sich ausnutzen, um auf Windows-basierten Veeam-Backup-&-Replication-Servern Rechte auszuweiten, gespeicherte SSH-Zugangsdaten auszulesen sowie Beschränkungen zu umgehen und beliebige Dateien in einem Backup-Repository zu manipulieren.

Laut Veeam wurden die Schwachstellen bei internen Tests entdeckt oder über die Plattform HackerOne gemeldet. Behoben sind sie in den Versionen 12.3.2.4465 und 13.0.1.2067 von Veeam Backup & Replication. Das Unternehmen rät Administratoren, die Software so schnell wie möglich zu aktualisieren, da Angreifer oft kurz nach der Veröffentlichung von Patches mit der Entwicklung von Exploits beginnen.

“Sobald eine Schwachstelle und der zugehörige Patch offengelegt sind, werden Angreifer wahrscheinlich versuchen, den Patch zurückzuentwickeln, um ungepatchte Veeam-Installationen anzugreifen”, warnte das Unternehmen. Dies unterstreiche, wie wichtig es sei, dass alle Kunden die aktuellsten Softwareversionen einsetzen und sämtliche Updates und Patches unverzüglich installieren.

VBR ist bei Managed-Service-Providern sowie mittleren bis großen Unternehmen beliebt. Ransomware-Banden nehmen VBR-Server jedoch häufig ins Visier, weil diese als schneller Ausgangspunkt für die seitliche Bewegung in kompromittierten Netzwerken dienen, den Datendiebstahl vereinfachen und es leicht machen, Wiederherstellungsversuche durch das Löschen der Backups zu blockieren.

Die finanziell motivierte Gruppe FIN7 – die zuvor mit den Ransomware-Gruppen Conti, REvil, Maze, Egregor und BlackBasta zusammenarbeitete – sowie die Cuba-Ransomware-Bande wurden beide mit früheren Angriffen auf VBR-Schwachstellen in Verbindung gebracht. Reaktionsteams von Sophos X-Ops berichteten zudem im November 2024, dass Frag-Ransomware eine andere, zwei Monate zuvor offengelegte VBR-RCE-Lücke ausnutzte, die ab Oktober 2024 auch bei Angriffen mit Akira- und Fog-Ransomware zum Einsatz kam.

Nach eigenen Angaben werden Veeams Produkte von mehr als 550.000 Kunden weltweit genutzt, darunter 74 Prozent der Global-2000-Unternehmen und 82 Prozent der Fortune-500-Konzerne.