Veeam ha corregido una vulnerabilidad crítica de la ejecución de código distante seguida como CVE-2025-23120 en su software de copia de seguridad y replicación que tiene un impacto en las instalaciones conjuntas en el dominio.
La falla se reveló ayer y afecta a Veeam Backup & Replication Version 12.3.0.310 y todas las versiones anteriores de la versión 12. La compañía lo estableció en la versión 12.3.1 (construir 12.3.1.1139), que se publicó ayer.
Según un escritura técnica por WatchToWr Labs, quien descubrió el error, CVE-2025-23120 es una vulnerabilidad de la desialización en el veeam.backup.esxmanager.xmlframeworkds y veeam.backup.core.backupsummary .net.
Una falla de detamena es cuando una aplicación pierde datos serializados, lo que permite a los atacantes inyectar objetos o dispositivos maliciosos, que pueden ejecutar un código dañino.
El año pasado, mientras reparaba un defecto en la desactivación previa descubierto por el investigador Florian Hauser. Para reparar el defecto, Veeam ha introducido una lista negra de clases u objetos conocidos que podrían explotarse.
Sin embargo, WatchToWr pudo encontrar una cadena diferente de dispositivos que no se colocaron en la lista negra para llevar a cabo la ejecución del código remoto.
“De todos modos, probablemente hayas adivinado a dónde va hoy, parece que Veeam, aunque es el juguete de juego favorito de una pandilla de ransomware, no aprendió después de la lección dada por Frycos En investigaciones anteriores publicadas. Usted lo adivinó: resolvieron los problemas de desialización al agregar entradas a su lista de desilización negra. “
La buena noticia es que el defecto solo tiene un impacto en las instalaciones de copia de seguridad y replicación de Veeam que se unen a un área. La mala noticia es que cualquier usuario de dominio puede usar esta vulnerabilidad, lo que la hace fácilmente explotable en estas configuraciones.
Desafortunadamente, muchas compañías se han unido a su servidor Veeam a un dominio de Windows, ignorando el Además, el negocio de la empresa desde hace mucho tiempo.
Las pandillas de ransomware han dicho que Bleeping compra en el pasado que los servidores de copia de seguridad y replicación de Veeam siempre son objetivos, ya que les permite una manera fácil de robar datos y bloquear los esfuerzos de restauración al eliminar las copias de seguridad.
Este defecto haría que las instalaciones de Veeam sean aún más preciosas debido a la facilidad con la que los actores de amenaza pueden violar los servidores.
Aunque no hay ningún informe sobre este defecto explotado en la naturaleza, WatchToWr compartió suficientes detalles técnicos para que no sea sorprendente ver la prueba de concepto (POC) pronto publicada.
Las empresas que usan Veeam Backup & Replication deberían hacer que sea una prioridad aumentar a 12.3.1 lo antes posible.
Además, dado el interés de las pandillas de ransomware para esta aplicación, se recomienda examinar las mejores prácticas de Veeam y desconectar el servidor en su campo.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.