Veri yedekleme ve kurtarma, veri güvenliği
Bir üretim alanına bağlı olarak açılmamış Veeam sunucuları için ‘gerçek tehlike’ uyarısı
Mathew J. Schwartz (Euroinfosec) •
20 Mart 2025
Yaygın olarak kullanılan Veeam Backup & Replication yazılımı, kullanıcılar için ciddi bir risk oluşturan bir uzaktan kod yürütme kusuru için bir yama düzeltmesi aldı.
Veeam, CVE-2025-23120 olarak izlenen güvenlik açığının, kodu uzaktan yürütmek için “kimlik doğrulamalı etki alanı kullanıcıları” tarafından kullanılabileceğini söyledi. Satıcı, Critik Güvenlik Açığı Sistemi Ölçeğinde 10 üzerinden 9,9 kritik güvenlik açığı oranlarını söyledi.
Güvenlik uyarısı, kusurun önceki 12.3 sürümlerinde ve önceki tüm sürüm 12 sürümlerinde olduğunu söylüyor. Yazılımın 11 ve önceki yapıları – hiçbiri hala desteklenmeyen ve test edilmemiş – savunmasız olabilir.
Kavram kanıtı yok, şimdiye kadar kamuya açıktır, ancak güvenlik uzmanları derhal yama yapmayı önermektedir. Bilgisayar korsanları – özellikle fidye yazılımı grupları – çoğu zaman kurumsal bir ağa erişim kazandıktan ve bir sunucuyu dahili bir saldırı vektörü aracılığıyla hedefledikten sonra tekrar tekrar yedekleme araçlarını ve Veeam’in popüler yazılımını hedeflediler.
Siber güvenlik firması, 2024 yılında Rapid7’nin “dahil veem’in bir şekilde erişildiği veya sömürülmesine, tipik olarak bir şekilde bir ayak kurduktan sonra” bir şekilde yanıt verdiğini “söyledi. Rapid7, tüm Veeam kullanıcılarının yedekleme sunucularının internete maruz kalmadığından emin olmasını önerdi, bu da bilgisayar korsanlarının sömürülmesi için imkansız olmaktan uzak olsa da, onları daha da zorlaştıracak.
CVE-2025-23120 ile bir kırışıklık, yalnızca Veeam Yedekleme ve Çoğaltma Sistemi, kimlik doğrulamalı bir kullanıcı ile aynı alana birleştirilmişse, kullanılabilmesidir. Veeam bunu asla yapmayı önerir: Şirketin yönergeleri, bir yedekleme sunucusunun asla bir üretim alanının parçası olmaması gerektiğini belirtir.
Yönergelere göre, “Büyük ortamlar için, yedekleme sunucusunu ve diğer yedekleme altyapı bileşenlerini ayrı bir Active Directory ormanındaki bir yönetim alanına eklemeniz önerilir.” “Orta boyutlu ve küçük ortamlar için yedek altyapı bileşenleri ayrı bir çalışma grubuna yerleştirilebilir.”
Kaç kullanıcı bu rehberliği takip ediyor. Rapid7, “Veeam, etki alanına bağlı yedekleme sunucularının güvenlik ve uyumluluk en iyi uygulamalarına karşı olduğunu açıkça belirtiyor, ancak gerçekte bunun nispeten yaygın bir konfigürasyon olacağına inanıyoruz.” Dedi.
Kusursuzluğu keşfeden Watchtowr, 5 Şubat’ta Veeam’e kusurun bildirildiğini, daha sonra satıcı 10 Şubat’ta makbuzu kabul ettiğini ve 5 Mart’ta güvenlik açıklarını doğruladığını ve Çarşamba günü yayınladığı bir düzeltmeyi hazırladığını söylemek için takip etti.
“Veeam sunucunuzu yamaladıysanız ve reklam alanınıza birleştirilmişse, muhtemelen gerçek tehlikedesiniz,” dedi firma, Piotr Bazydlo tarafından yazılan bir Perşembe blog yazısında ve güvenlik açığı araştırmacısı Sina Kheirkhah.
Yakın istismar bekleyin. Bazydlo, Sosyal Platform X’e yapılan bir yayında, Eylül 2024’te veeam’in yamalı bir uzaktan kod yürütme kırılganlığı olan CVE-2024-40711 bilgisine sahip olan herkesin, istismar kodunu CVE-2025-23120’yi hedeflemek için kolayca değiştirebileceğini söyledi (bakınız: bkz: Veeam yedekleme ve çoğaltma yazılımı için düzenlenen yama uyarısı).
“Ne yazık ki, çok basit,” dedi.
Altta yatan sorun, Veeam yedeklemesinin ve çoğaltmanın sazizleşmeyi nasıl sağlamaya çalıştığını içerir.
Programlama ortamları, bir dilde depolanan verileri veya nesneleri bellekteki kullanılabilir nesnelere dönüştürme veya serileştirme ve bunları tekrar geri götürmek için sazipleştirme yeteneğini gerektirir. Sessializasyon yetenekleri dikkatlice korunmadıkça, saldırganlar kötü niyetli kod çalıştırmak için potansiyel olarak kötüye kullanabilirler.
Araştırmacılar, bir saldırganın erişmesine izin verebilecek “Veeam Backup & Replication .NET uzaktan kumandanızı ortaya çıkardığını” buldular. BinaryFormatter. “
” BinaryFormatter Tür tehlikelidir ve veri işleme için önerilmez, “dedi Microsoft Ağustos 2024’te.” Uygulamalar kullanmayı bırakmalı BinaryFormatter En kısa zamanda, işledikleri verilerin güvenilir olmaya inanıyor olsalar bile. BinaryFormatter güvensizdir ve güvenli hale getirilemez. “
Bazydlo ve Kheirkhah, yazılımını sealizasyon saldırılarına karşı korumak için, “Veeam, beyaz liste tipi bir mekanizma yoluyla güvenli olmayan bir sazizasyona karşı koruyan özel bir biçimlendirme tanıttı.” Dedi. “Bu iyi! Beyaz liste çok geniş olduğunda sorunlar ortaya çıkıyor.”
Bir beyaz liste veya izin listesi, engellenmesi veya çalıştırılması engellenmesi gereken her şeyi listelemeye çalışan bir blok listesine – yani kara listeye – farklıdır.
Araştırmacılar, Veeam’in Deserializasyon İzin Listesi’nin kısmen doğal zorluklar yaratan bir blok listesine dayandığını, çünkü herhangi bir programlama dilinde, “özellikle yeni işlevsellik eklendikçe, sazelleştirme aletlerinin listesi aslında oldukça büyük” olduğunu söyledi.
Veeam, araştırmacıların keşfettiği kırılganlığa tek bir CVE atarken, bunun bulduklarının tüm riski kapsamadığını söylediler. Araştırmacılar, “Basitçe söylemek gerekirse – sadece kara listeye alınmayan ve uzaktan kod yürütme yetenekleri elde etmek için potansiyel olarak kötü niyetli bir etkiye yol açan bir seansizasyon gadget’ı bulmanız gerekiyor” dedi.
“Veeam kod tabanının büyüklüğü göz önüne alındığında, diğer araştırmacılar artık çok sayıda uygulanabilir feenleştirme gadget’ları bulurlarsa şaşırmazız.” Dediler. Diyerek şöyle devam etti: “Çözümün kritikliği göz önüne alındığında, bu çözümün fidye yazılımı çeteleri tarafından hedeflenen iyi bilinen ve zorlu zemini ile birleştiğinde bu konuda olumlu olmamız zor.”