Araştırmacılar, Veeam Yedekleme ve Çoğaltma Çözümünde Kritik Uzaktan Kod Yürütme (RCE) güvenlik açıklarını ortaya çıkardılar.
CVE-2025-23120’yi içeren bu güvenlik açıkları, seansizasyon mekanizmalarındaki zayıflıklardan yararlanır ve potansiyel olarak herhangi bir etki alanı kullanıcısının Veeam yedek sunucularına sistem erişimi kazanmasına izin verir.
Bu özellikle Veeam sunucularını Active Directory alanlarına entegre eden kuruluşlar içindir.
CVE-2025-23120: Seyirci Sarmak Zayıflıklar
Sömürü, Veeam kod tabanında serileştirme araçlarının kullanılması yoluyla kolaylaştırılır.
Özellikle, araştırmacılar, WatchTowr Lab tarafından yapılan bir rapora göre, veri kümesi sınıfını genişleten Veeam.backup.esxmanager.xmlframeworkds sınıfından yararlandı.
Bu, ana sınıfın yapıcısını çağırma yeteneği nedeniyle RCE’ye ulaşmak için güçlü bir gadget yapar, böylece hemen RCE yeteneklerini sağlar.
namespace Veeam.Backup.EsxManager
{
[Serializable]
public class xmlFrameworkDs : DataSet
{
protected xmlFrameworkDs(SerializationInfo info, StreamingContext context)
: base(info, context, false)
{
if (base.IsBinarySerialized(info, context))
{
this.InitVars(false);
CollectionChangeEventHandler value = new CollectionChangeEventHandler(this.SchemaChanged);
this.Tables.CollectionChanged += value;
this.Relations.CollectionChanged += value;
return;
}
//...
}
}
}Bu güvenlik açığı, kara listeye dayalı firalizasyon güvenlik mekanizmalarındaki doğal zayıflıklardan yararlanmaktadır.
Veeam daha önce seansizasyon kara listelerini genişleterek benzer sorunları azaltmaya çalışmıştı.
Bununla birlikte, araştırmacılar, .NET çerçevesinde ve üçüncü taraf kütüphanelerinde çok sayıda potansiyel alet göz önüne alındığında, kapsamlı bir kötü amaç sınıfı listesini korumaya bağlı olduğu için bu yaklaşımın doğal olarak kusurlu olduğunu buldular.
Sömürü için gerekli ayrıcalıklar
Bu güvenlik açıklarından yararlanmak için kullanıcıların Veeam .NET uzaktan kumandana kanalına erişmeleri gerekir.
Bu erişim idari ayrıcalıklar gerektirmez; Bunun yerine, Windows ana bilgisayarındaki yerel kullanıcı grubuna ait herhangi bir kullanıcı bu güvenlik açıklarından yararlanabilir.
Daha da endişe verici, Veeam sunucusu bir etki alanına birleştirildiğinde, herhangi bir etki alanı kullanıcısı, yetkilendirme kontrollerinin Veeam Mount hizmetinde uygulama şekli nedeniyle bu kusurları kullanabilir.
Yetkilendirme kontrolleri, kullanıcı WindowsbuiltinRole.user grubundaysa erişim sağlayan cmountserviceaccesschecker.hasaccess yöntemi tarafından gerçekleştirilir.
Bu, etki alanı yapılandırması etki alanı kullanıcıları grubunun yerel kullanıcılar grubuna eklenmesine izin veriyorsa, etki alanı kullanıcılarını içerir:
Veeam Backup & Replication’da bu RCE güvenlik açıklarının keşfi, kara listeye dayalı güvenlik mekanizmalarının kullanılmasıyla ilişkili risklerin altını çizmektedir.
Gelecekte benzer güvenlik açıklarını önlemek için sadece beyaz listeye yönelik yaklaşımlara doğru ilerlemenin önemini vurgulamaktadır.
VeeAM kullanan kuruluşlar için, en son yamaları uygulamak ve bu riskleri azaltmak için yedekleme sunucularını etki alanı ağlarından izole etmeyi düşünmek çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free