Una vulnerabilità estremamente grave è stata recentemente scoperta in Veeam Backup & Replication, una delle soluzioni di backup più utilizzate in ambienti enterprise e non.. Se sfruttata, consente a un utente autenticato su Active Directory di eseguire codice arbitrario da remoto con privilegi SYSTEM, mettendo potenzialmente a rischio l’intera infrastruttura IT.
La vulnerabilità è tracciata come CVE-2025-23121, ha ricevuto un punteggio CVSS 9.9 (quasi massimo) ed è stata emessa diverso tempo fa, la quale colpisce tutte le versioni precedenti alla 12.3.1. Tale vulnerabilità è stata risolta con la versione 12.3.2, rilasciata da Veeam ma ancora molti apparati risultano privi di patch esponendoli a potenziali compromissioni.
Dettagli tecnici della vulnerabilità (CVE-2025-23121)
La vulnerabilità è stata identificata dai ricercatori di CodeWhite e watchTowr, già noti per le loro analisi avanzate sui prodotti enterprise. Secondo il report, il bug è strettamente collegato — o addirittura derivato — da una falla precedente, la CVE-2025-23120, chiusa a marzo 2025 ma aggirabile da un attaccante esperto.
Sebbene al momento non esistano PoC pubblici, la probabilità di un exploit in-the-wild è concreta. Le vulnerabilità Veeam sono storicamente molto ambite, come dimostrato dalla CVE-2023-27532, poi inclusa in tool offensivi privati usati da gruppi ransomware.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
CVE-2025-23120 — Privilege Escalation da Backup Operator (CVSS 6.1)
Consente a un utente con ruolo “Backup Operator” di modificare job esistenti, impostare script post-job o destinazioni alterate, inducendo il server a eseguire codice arbitrario con privilegi elevati.
Scenario d’attacco:
1. L’attaccante crea o modifica un job inserendo un payload.
2. Il job viene eseguito da un servizio Veeam che gira come SYSTEM.
3. Il codice viene eseguito con privilegi amministrativi → escalation locale.
CVE-2025-2428 — Scrittura arbitraria su directory Veeam
A causa di permessi NTFS errati, un utente locale non admin può scrivere su directory monitorate da processi elevati, abilitando tecniche come DLL hijacking.
Tecnica sfruttabile:
– Un attaccante piazza una DLL malevola in una directory Veeam.
– Il processo SYSTEM carica la DLL all’avvio.
– L’attaccante ottiene esecuzione privilegiata e persistenza.
I server Veeam rappresentano obiettivi ad alto valore per gli attaccanti, poiché:
– Operano con privilegi SYSTEM
– Accedono a volumi di rete, NAS, repository cloud e host VM
– Gestiscono credenziali critiche per workload e backup
– Sono fondamentali nei piani di continuità operativa
Una compromissione di Veeam può:
– Rendere invisibile l’attacco usando snapshot o backup alterati
– Distruggere copie di backup o disattivarne l’esecuzione
– Abilitare ransomware su larga scala
– Consentire persistence anche dopo la rimozione del malware
Aggiornamento urgente
– Installare Veeam Backup & Replication 12.3.2 su tutti i server e agent
– Testare l’update in ambiente di staging prima della distribuzione in produzione
Controllo degli accessi
– Rivedere i ruoli assegnati (in particolare “Backup Operator”)
– Limitare l’accesso al server Veeam a utenti e amministratori autorizzati
– Rimuovere o disabilitare account inutilizzati o obsoleti
Audit e hardening
– Analizzare i permessi NTFS delle directory Veeam
– Isolare il server backup in una VLAN dedicata
– Monitorare le richieste RPC e i processi Veeam con strumenti EDR
Protezione dei backup
– Verificare che esistano copie replicate offsite o in cloud
– Usare repository con WORM (Write Once Read Many)
– Validare che le credenziali nei job siano aggiornate e cifrate
La CVE-2025-23121 rappresenta una minaccia critica per qualsiasi organizzazione che utilizzi Veeam in produzione. La sua combinazione di RCE, escalation e accesso privilegiato ai dati la rende un vettore ideale per attacchi mirati, ransomware e compromissioni su larga scala. L’aggiornamento a Veeam 12.3.2 è pertanto urgente e deve essere affiancato da una revisione completa della postura di sicurezza legata al backup.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
