Quando anche i backup diventano un vettore d’attacco: Veeam corregge una RCE critica

I backup sono generalmente considerati l’ultima linea di difesa, ma questa settimana Veeam ci ha ricordato che i sistemi di backup stessi possono diventare punti di accesso per gli attacchi. L’azienda ha rilasciato aggiornamenti di sicurezza per Backup & Replication, risolvendo diverse vulnerabilità, tra cui un problema di esecuzione di codice remoto ad alto rischio.

La più rilevante di queste vulnerabilità è stata identificata con l’identificatore CVE-2025-59470 (punteggio CVSS: 9,0). Secondo la descrizione di Veeam, un aggressore con il ruolo di Backup Operator o Tape Operator può eseguire attacchi RCE per conto dell’utente PostgreSQL, passando parametri di intervallo o ordine dannosi.

Veeam sottolinea nel suo bollettino che, nonostante la classificazione CVSS “critica”, l’azienda classifica la vulnerabilità come di gravità elevata dato che la finestra temporale per lo sfruttamento si riduce significativamente.

I ruoli offrono davvero una vasta gamma di funzionalità. Ad esempio, un Backup Operator può avviare e interrompere i job esistenti, esportare e copiare backup e creare VeeamZip. Un Tape Operator gestisce le operazioni su nastro: avvio di backup su nastro e job di catalogazione, importazione ed esportazione di nastri, cancellazione, impostazione di password ed esecuzione di altre azioni. In altre parole, questi non sono “utenti standard” e, in un ambiente configurato correttamente, l’accesso a tali account dovrebbe essere il più limitato e controllato possibile.

Oltre al CVE-2025-59470, sono state corrette altre tre vulnerabilità nello stesso prodotto: CVE-2025-55125 (punteggio CVSS: 7,2), in cui Backup Operator o Tape Operator possono ottenere RCE come root tramite un file di configurazione di backup dannoso

Inoltre il VE-2025-59468 (punteggio CVSS: 6,7), permette ai Backup Administrator di eseguire codice come postgres tramite il parametro password; e il CVE-2025-59469 (punteggio CVSS: 7,2), onsente a Backup Operator o Tape Operator di scrivere file come root.

Tutti e quattro i problemi interessano Veeam Backup & Replication 13.0.1.180 e le build precedenti del branch 13. Le correzioni sono state rilasciate nella versione 13.0.1.1071.

Veeam non ha segnalato alcun exploit in attacchi reali, ma è meglio non ritardare l’aggiornamento dato anche l’interesse dei delle cybergang ransomware verso questi prodotti, poiché l’accesso a un server di backup spesso significa accesso all’intera infrastruttura di ripristino.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks