Veeam, kurumsal Veeam yedekleme ve çoğaltma çözümünü etkileyen kritik bir uzaktan kod yürütme güvenlik açığı (CVE-2025-23120) için düzeltmeler yayınladı ve müşterileri hızlı bir şekilde sabit bir sürüme yükseltmeye çağırıyor.
Şu anda güvenlik açığının saldırganlar tarafından kaldırıldığına dair bir gösterge yok. Watchtowr Labs’tan araştırmacı Piotr Bazydlo tarafından özel bir yazı ve daha önce keşfedilen bir güvenlik açığı (CVE-2024-40711) için bir kavram kanıtı sömürüsünün (CVE-2024-40711) nasıl değiştirilebileceğine dair işaretçiler tarafından özel olarak bildirildi.
CVE-2025-23120 HAKKINDA
Aslında benzer seansizasyon gadget’larına dayanan iki RCE güvenlik açığını kapsayan CVE-2025-23120, 12, 12.1, 12.2 ve 12.3’ü Yedekleme ve Çoğaltma sürümlerini etkiler. Şirket, “Desteklenmeyen ürün versiyonları test edilmiyor, ancak muhtemelen etkileniyor ve savunmasız olarak kabul edilmeli” diyor.
Yarı iyi haberler, güvenlik açığının yalnızca kuruluşun Active Directory alanına birleştirilen ve yalnızca kimliği doğrulanmış etki alanı kullanıcıları tarafından sömürülebilen yedekleme ve çoğaltma sunucularını etkilediğidir.
Rapid7 araştırmacıları, “Veeam, etki alanına bağlı yedekleme sunucularının güvenlik ve uyumluluk en iyi uygulamalarına karşı olduğunu açıkça belirtiyor, ancak gerçekte bunun nispeten yaygın bir konfigürasyon olacağına inanıyoruz” dedi.
Ayrıca, saldırganlar tarafından erişilen veya sömürülen Veeam yedek sunucularının genellikle bir düşman hedef ortamda bir dayanak kurduktan sonra gerçekleştiğine dikkat çekti.
Bazydlo, “50.000 kişilik organizasyonunuzun herhangi bir çalışanının yedek sunucunuzda sistem alabileceğini hayal edin. Biraz korkutucu, değil mi? Özellikle görünüşte ve sihirli bir şekilde shellz’i uç noktalarınıza almış gibi görünen tehdit aktörlerini düşündüğünüzde” dedi.
Fidye yazılımı saldırganlarının genellikle yedeklemelerden sonra gittiğini, Veeam Yedekleme ve Çoğaltma güvenlik açıklarının düzenli olarak onlar tarafından kullanıldığını ve akıllı saldırganların mevcut bilgilere dayalı bir istismarın nasıl geliştirileceğini bileceklerini, kurumsal yöneticilerin hızlı bir şekilde hareket etmesi gerektiğini akılda tutarak.
Rapid7 araştırmacıları, “Müşteriler, normal bir yama döngüsünün gerçekleşmesini beklemeden derhal yazılımın en son sürümüne (12.3 Build 12.3.1.1139) güncellenmelidir.