Veeam har åtgärdat en kritisk sårbarhet för fjärrkodsexekvering i Backup & Replication 12.x. Sårbarheten gör det möjligt för en domänanvändare med låga rättigheter att ta över backupservrar utan administratörsbehörighet. Den spåras som CVE-2026-44963 och har ett CVSS v4-poäng på 9,4. Version 13.x påverkas inte.
BleepingComputer rapporterade om sårbarheten den 10 juni 2025 och beskrev hur domänanvändare kan exekvera godtycklig kod mot backupinfrastruktur på distans. Backupservrar är ett attraktivt mål: den som komprometterar dem får tillgång till återställningsdata, inloggningsuppgifter lagrade i backupjobb och i många miljöer en privilegierad nätverksväg till produktionssystem.
Patchen finns tillgänglig nu. Organisationer som kör Veeam Backup & Replication 12.x ska uppdatera till version 12.3.2.4854 omedelbart.
Backupservern är målet ransomware-grupper söker
Det som gör denna sårbarhet särskilt allvarlig är angreppsvektorn. Utnyttjandet kräver varken ett stulet administratörskonto eller en phishing-kedja. Vilken domänanvändare som helst, inklusive konton med minimala rättigheter, kan trigga fjärrkodsexekvering mot backupservern. I de flesta Active Directory-miljöer är tröskeln så låg att en angripare som har komprometterat en enskild arbetsstation har en direkt väg till backupinfrastrukturen.
Ransomware-operatörer har förstått detta i flera år. Att radera eller kryptera säkerhetskopior innan det primära payload:et aktiveras är standardförfarande för grupper som vill maximera sin utpressningshävstång. En sårbarhet som låter dem ta kontroll över backupservrar innan lösensummemeddelandet visas är exakt den förmåga de letar efter när de väljer ut mål.
Ytterligare två CVE:er åtgärdades i samma releasecykel: CVE-2026-21669 och CVE-2026-21670, båda i Backup & Replication 12.x. Veeam har vid publiceringstillfället inte offentliggjort fullständiga tekniska detaljer om någon av dem. Patchen som adresserar alla tre är densamma: version 12.3.2.4854.
Versionsnumren i tredjepartsrapportering stämmer inte med Veeams egna KB-artiklar
CVE-årsprefix på CVE-2026-44963 är ovanligt för en sårbarhet som offentliggjordes i mitten av 2025, och den patchversion som anges i tredjepartsrapportering matchar inte versionsnumren i Veeams egna KB4830 och KB4831. KB4831, publicerad av Veeam, dokumenterar sårbarheter åtgärdade i version 13.0.1.2067, medan KB4830 täcker version 12.3.2.4465. En separat källa hos Rescana refererar till CVE-2025-59470 i samma produktlinje. Det är möjligt att rapporteringen sammanblandar separata patchar utgivna vid olika tidpunkter under 2025. Verifiera korrekt målversion mot Veeams egna rådgivningar innan uppdateringar appliceras i produktion.
Det är inte ett skäl att skjuta upp patchningen. Det är ett skäl att gå direkt till Veeams KB-artiklar i stället för att förlita sig på tredjepartsversionsnummer.
Patcha, kontrollera sedan om intrång redan skett
Uppdatera till den version som Veeams egna KB-artiklar bekräftar åtgärdar CVE-2026-44963. Kontrollera mot KB4830 och KB4831 innan underhållsfönstret schemaläggs.
Om din Veeam-server har varit exponerad mot internet eller tillgänglig från opålitliga nätverkssegment ska den behandlas som potentiellt komprometterad innan patchning genomförs. Granska autentiseringsloggar för lateral förflyttning från konton med låga rättigheter, kontrollera om det finns oväntade schemalagda uppgifter eller tjänsteinstallationer, och verifiera backupjobbens integritet innan återställningsdata betraktas som tillförlitliga.
Runzero har publicerat vägledning för att identifiera exponerade Veeam-instanser i en miljö, länkad i referenserna nedan, vilket är användbart för organisationer som behöver lokalisera alla körande 12.x-driftsättningar innan patchfönstret öppnas.
Ingen publik exploit-kod har bekräftats vid publiceringstillfället, men Veeam-sårbarheter har tidigare vapniserats snabbt. CVE-2023-27532, en sårbarhet med liknande allvarlighetsgrad i en äldre version av Backup & Replication, dök upp i ransomware-kampanjer inom veckor efter att den offentliggjordes. Att vänta på att proof-of-concept-kod ska bli offentlig innan patchning är inte en rimlig riskbedömning här.
Referenser
- New Veeam RCE Flaw Lets Domain Users Hack Backup Servers
- New Veeam Vulnerability Exposes Backup Servers to RCE Attacks
- Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2.4465
- Vulnerabilities Resolved in Veeam Backup & Replication 13.0.1.2067
- Veeam RCE Vulnerabilities – How to Find Impacted Assets
- Critical Veeam RCE Flaw Lets Low-Privilege Users Take Over Backup Servers
This post is also available in: