Una vulnerabilità estremamente grave è stata recentemente scoperta in Veeam Backup & Replication, una delle soluzioni di backup più utilizzate in ambienti enterprise e non.. Se sfruttata, consente a un utente autenticato su Active Directory di eseguire codice arbitrario da remoto con privilegi SYSTEM, mettendo potenzialmente a rischio l’intera infrastruttura IT.
La vulnerabilità è tracciata come CVE-2025-23121, ha ricevuto un punteggio CVSS 9.9 (quasi massimo) ed è stata emessa diverso tempo fa, la quale colpisce tutte le versioni precedenti alla 12.3.1. Tale vulnerabilità è stata risolta con la versione 12.3.2, rilasciata da Veeam ma ancora molti apparati risultano privi di patch esponendoli a potenziali compromissioni.
Dettagli tecnici della vulnerabilità (CVE-2025-23121)
La vulnerabilità è stata identificata dai ricercatori di CodeWhite e watchTowr, già noti per le loro analisi avanzate sui prodotti enterprise. Secondo il report, il bug è strettamente collegato — o addirittura derivato — da una falla precedente, la CVE-2025-23120, chiusa a marzo 2025 ma aggirabile da un attaccante esperto.
Sebbene al momento non esistano PoC pubblici, la probabilità di un exploit in-the-wild è concreta. Le vulnerabilità Veeam sono storicamente molto ambite, come dimostrato dalla CVE-2023-27532, poi inclusa in tool offensivi privati usati da gruppi ransomware.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CVE-2025-23120 — Privilege Escalation da Backup Operator (CVSS 6.1)
Consente a un utente con ruolo “Backup Operator” di modificare job esistenti, impostare script post-job o destinazioni alterate, inducendo il server a eseguire codice arbitrario con privilegi elevati.
Scenario d’attacco:
1. L’attaccante crea o modifica un job inserendo un payload.
2. Il job viene eseguito da un servizio Veeam che gira come SYSTEM.
3. Il codice viene eseguito con privilegi amministrativi → escalation locale.
CVE-2025-2428 — Scrittura arbitraria su directory Veeam
A causa di permessi NTFS errati, un utente locale non admin può scrivere su directory monitorate da processi elevati, abilitando tecniche come DLL hijacking.
Tecnica sfruttabile:
– Un attaccante piazza una DLL malevola in una directory Veeam.
– Il processo SYSTEM carica la DLL all’avvio.
– L’attaccante ottiene esecuzione privilegiata e persistenza.
I server Veeam rappresentano obiettivi ad alto valore per gli attaccanti, poiché:
– Operano con privilegi SYSTEM
– Accedono a volumi di rete, NAS, repository cloud e host VM
– Gestiscono credenziali critiche per workload e backup
– Sono fondamentali nei piani di continuità operativa
Una compromissione di Veeam può:
– Rendere invisibile l’attacco usando snapshot o backup alterati
– Distruggere copie di backup o disattivarne l’esecuzione
– Abilitare ransomware su larga scala
– Consentire persistence anche dopo la rimozione del malware
Aggiornamento urgente
– Installare Veeam Backup & Replication 12.3.2 su tutti i server e agent
– Testare l’update in ambiente di staging prima della distribuzione in produzione
Controllo degli accessi
– Rivedere i ruoli assegnati (in particolare “Backup Operator”)
– Limitare l’accesso al server Veeam a utenti e amministratori autorizzati
– Rimuovere o disabilitare account inutilizzati o obsoleti
Audit e hardening
– Analizzare i permessi NTFS delle directory Veeam
– Isolare il server backup in una VLAN dedicata
– Monitorare le richieste RPC e i processi Veeam con strumenti EDR
Protezione dei backup
– Verificare che esistano copie replicate offsite o in cloud
– Usare repository con WORM (Write Once Read Many)
– Validare che le credenziali nei job siano aggiornate e cifrate
La CVE-2025-23121 rappresenta una minaccia critica per qualsiasi organizzazione che utilizzi Veeam in produzione. La sua combinazione di RCE, escalation e accesso privilegiato ai dati la rende un vettore ideale per attacchi mirati, ransomware e compromissioni su larga scala. L’aggiornamento a Veeam 12.3.2 è pertanto urgente e deve essere affiancato da una revisione completa della postura di sicurezza legata al backup.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Vulnerabilità
Innovazione
Cyberpolitica
Cultura