Birçok işletmenin veri koruma stratejisinin temel taşı olan Veeam Backup & Replication’ın gizli bir pazarda sunulan yeni bir istismarın odağı haline geldiği bildiriliyor.
Yakın zamanda yapılan bir listeye göre, “Sebastianpereiro” tutamağı altında çalışan bir satıcı, belirli Veeam 12.x yapılarını hedefleyen bir uzaktan kod yürütme (RCE) istismarına sahip olduğunu iddia ediyor.
“Haziran 2025 hatası” olarak adlandırılan istismar, standart kimlik doğrulama mekanizmalarını atladığı ve tam sunucu kontrolü verdiği iddia ediliyor. Erken işaretler, CVE-2025-23121 ile bir güvenlik açığına işaret ediyor, ancak resmi bir kavram kanıtı kamuya açıklanmadı.
Liste, başarılı sömürünün yalnızca geçerli herhangi bir Active Directory hesabı gerektirdiğini belirtir ve kimlik avı veya diğer yanal hareket teknikleri yoluyla etki alanı kimlik bilgileri kazanan tehdit aktörleri için çubuğu önemli ölçüde düşürür.
Ödeme, satıcıya özel mesaja yönelik ilgili alıcılarla 7.000 $ kripto para birimi olarak belirlenir.
Kamu paylaşılan bir konsept kanıtının olmaması bağımsız doğrulamayı sınırlarken, yedekleme altyapısı üzerindeki potansiyel etki derindir; Yedeklemeleri pefiltrasyon yapmak, şifrelemek veya kalıcı olarak yok etmek için uzlaşmış sistemler kaldırılabilir.
Tehdit analistleri, karışık Windows-Linux ortamlarında Veeam yedekleme ve çoğaltma çalıştıran işletmelerin, tomrukçuluk ve yama yönetimi iş akışlarındaki farklılıklar nedeniyle özellikle savunmasız olabileceğini belirtti.
Test veya uyumluluk nedenleri için yamaları geciktiren kuruluşlar, maruz kalma pencerelerini yanlışlıkla uzatabilir ve başarılı bir ihlal riskini artırabilir.
Yanıt olarak, güvenlik ekiplerine Active Directory hesaplarının yüksek ayrıcalıklarla denetlenmesine öncelik vermeleri, tüm Veeam sunucularında yama seviyelerini doğruladıkları ve anormal hizmet hesap kullanımı izlemeleri önerilir.
Enfeksiyon mekanizması
İstismar, Veeam’in REST API uç noktasında uygunsuz giriş validasyonundan yararlanıyor gibi görünüyor. Bir saldırgan, herhangi bir reklam hesabıyla kimlik doğrulaması yapar ve özel olarak hazırlanmış bir JSON yükü gönderir. /api/sessions/startBackup uç nokta, kabuk komutlarını doğrudan yedekleme oturumu oluşturma mantığına enjekte eder.
PowerShell’de basitleştirilmiş bir kavram kanıtı:-
$uri = "https://veeam-server:4443/api/sessions/startBackup"
$payload = @{
jobName = "WeeklyBackup";
preScript = "powershell -Enc SQBuAG..." # Base64-encoded malicious command
} | ConvertTo-Json
Invoke-RestMethod -Uri $uri -Method Post -Body $payload -Credential (Get-Credential) -UseBasicParsingBu yük, hizmete, Veeam hizmet hesabı bağlamında keyfi PowerShell kodu yürütmesi için talimat verir ve saldırgan yüksek ayrıcalıklar ve yedekleme işleri ve depo içeriği üzerinde tam kontrol verir.
API trafiğinin ve katı reklam hesabı hijyeninin sürekli izlenmesi, bu saldırı vektörünün tespit edilmesi ve bozulması için kritik öneme sahiptir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
