Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Vulnerabilità critiche in Veeam Backup! Un rischio di compromissione totale dei sistemi

Antonio Piazzolla : 10 Luglio 2025 11:13

Una vulnerabilità estremamente grave è stata recentemente scoperta in Veeam Backup & Replication, una delle soluzioni di backup più utilizzate in ambienti enterprise  e non.. Se sfruttata, consente a un utente autenticato su Active Directory di eseguire codice arbitrario da remoto con privilegi SYSTEM, mettendo potenzialmente a rischio l’intera infrastruttura IT.

La vulnerabilità è tracciata come CVE-2025-23121, ha ricevuto un punteggio CVSS 9.9 (quasi massimo) ed è stata emessa diverso tempo fa, la quale colpisce tutte le versioni precedenti alla 12.3.1. Tale vulnerabilità è stata risolta con la versione 12.3.2, rilasciata da Veeam ma ancora molti apparati risultano privi di patch esponendoli a potenziali compromissioni.

Dettagli tecnici della vulnerabilità (CVE-2025-23121)

  • Componente vulnerabile: backend RPC/API interne di Veeam
  • Condizione necessaria: autenticazione su Active Directory con un account standard di dominio
  • Vettore di attacco: invio di richieste appositamente costruite ai servizi interni di Veeam, sfruttando autorizzazioni mal configurate (es. tramite pipe nominate, API locali, gRPC)
  • Impatto potenziale: Esecuzione di comandi arbitrari con privilegi SYSTEM, manipolazione dei job di backup, accesso non autorizzato a repository e snapshot, movimentazione laterale in ambienti AD

Scoperta e contesto

La vulnerabilità è stata identificata dai ricercatori di CodeWhite e watchTowr, già noti per le loro analisi avanzate sui prodotti enterprise. Secondo il report, il bug è strettamente collegato — o addirittura derivato — da una falla precedente, la CVE-2025-23120, chiusa a marzo 2025 ma aggirabile da un attaccante esperto.

Sebbene al momento non esistano PoC pubblici, la probabilità di un exploit in-the-wild è concreta. Le vulnerabilità Veeam sono storicamente molto ambite, come dimostrato dalla CVE-2023-27532, poi inclusa in tool offensivi privati usati da gruppi ransomware.

Altre vulnerabilità risolte nella versione 12.3.2


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    CVE-2025-23120 — Privilege Escalation da Backup Operator (CVSS 6.1)
    Consente a un utente con ruolo “Backup Operator” di modificare job esistenti, impostare script post-job o destinazioni alterate, inducendo il server a eseguire codice arbitrario con privilegi elevati.

    Scenario d’attacco:
    1. L’attaccante crea o modifica un job inserendo un payload.
    2. Il job viene eseguito da un servizio Veeam che gira come SYSTEM.
    3. Il codice viene eseguito con privilegi amministrativi → escalation locale.

    CVE-2025-2428 — Scrittura arbitraria su directory Veeam
    A causa di permessi NTFS errati, un utente locale non admin può scrivere su directory monitorate da processi elevati, abilitando tecniche come DLL hijacking.

    Tecnica sfruttabile:
    – Un attaccante piazza una DLL malevola in una directory Veeam.
    – Il processo SYSTEM carica la DLL all’avvio.
    – L’attaccante ottiene esecuzione privilegiata e persistenza.

     Implicazioni per la sicurezza aziendale

    I server Veeam rappresentano obiettivi ad alto valore per gli attaccanti, poiché:
    – Operano con privilegi SYSTEM
    – Accedono a volumi di rete, NAS, repository cloud e host VM
    – Gestiscono credenziali critiche per workload e backup
    – Sono fondamentali nei piani di continuità operativa

    Una compromissione di Veeam può:
    – Rendere invisibile l’attacco usando snapshot o backup alterati
    – Distruggere copie di backup o disattivarne l’esecuzione
    – Abilitare ransomware su larga scala
    – Consentire persistence anche dopo la rimozione del malware

    Raccomandazioni operative

    Aggiornamento urgente
    – Installare Veeam Backup & Replication 12.3.2 su tutti i server e agent
    – Testare l’update in ambiente di staging prima della distribuzione in produzione

     Controllo degli accessi
    – Rivedere i ruoli assegnati (in particolare “Backup Operator”)
    – Limitare l’accesso al server Veeam a utenti e amministratori autorizzati
    – Rimuovere o disabilitare account inutilizzati o obsoleti

    Audit e hardening
    – Analizzare i permessi NTFS delle directory Veeam
    – Isolare il server backup in una VLAN dedicata
    – Monitorare le richieste RPC e i processi Veeam con strumenti EDR

    Protezione dei backup
    – Verificare che esistano copie replicate offsite o in cloud
    – Usare repository con WORM (Write Once Read Many)
    – Validare che le credenziali nei job siano aggiornate e cifrate

    Conclusioni

    La CVE-2025-23121 rappresenta una minaccia critica per qualsiasi organizzazione che utilizzi Veeam in produzione. La sua combinazione di RCE, escalation e accesso privilegiato ai dati la rende un vettore ideale per attacchi mirati, ransomware e compromissioni su larga scala. L’aggiornamento a Veeam 12.3.2 è pertanto  urgente e deve essere affiancato da una revisione completa della postura di sicurezza legata al backup. 

    Antonio Piazzolla
    Responsabile IT Infrastructure & Security con oltre 20 anni di esperienza in ambienti enterprise complessi. In Casillo Group si occupa di continuità operativa, sicurezza e innovazione. Certificato Microsoft, VMware, Cisco e ITIL.

    Lista degli articoli

    Articoli in evidenza

    Un nome di un file può compromettere un sistema Linux? Gli hacker cinesi dicono di sì
    Di Redazione RHC - 24/08/2025

    I ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno del...

    Il caso “Mia Moglie” e le sfide della responsabilità digitale tra privacy, revenge porn e ruolo delle piattaforme
    Di Paolo Galdieri - 23/08/2025

    La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...

    Performance review 2025 per Google: meno bug, più vibe coding
    Di Redazione RHC - 23/08/2025

    Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...

    20 milioni di dollari per exploit zero-day dal broker Advanced Security Solutions
    Di Redazione RHC - 22/08/2025

    Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...

    Un bug critico di Downgrade in Chat-GPT porta al Jailbreak del modello
    Di Redazione RHC - 22/08/2025

    Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...