Veeam แก้ไขช่องโหว่ RCE ที่อันตรายบน Backup & Replication

Veeam ปล่อยแพตช์แก้ไขช่องโหว่ Remote Code Execution ที่มีความรุนแรงระดับ Critical ใน Backup & Replication ซึ่งกลุ่มแรนซัมแวร์มักใช้เป็นเป้าหมายโจมตีในการขโมยข้อมูลและลบไฟล์สำรอง

Veeam ได้ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ Remote Code Execution ที่มีรหัส CVE-2025-23120 ในซอฟต์แวร์ Veeam Backup & Replication ซึ่งมีผลกระทบกับเซิร์ฟเวอร์ที่เชื่อมต่อกับ Active Directory โดยช่องโหว่นี้ถูกค้นพบโดยทีมวิจัย watchTowr Labs และมีอยู่ในเวอร์ชัน 12.3.0.310 และเวอร์ชันเก่ากว่าทั้งหมดในตระกูล 12 ช่องโหว่นี้เกิดจากปัญหา deserialization ในคลาส .NET Veeam.Backup.EsxManager.xmlFrameworkDs และ Veeam.Backup.Core.BackupSummary ซึ่งอาจถูกใช้ในการแทรกโค้ดอันตรายและทำการรันคำสั่งในระบบได้

ปัญหานี้เกิดขึ้นเพราะ Veeam ได้แก้ไขช่องโหว่ deserialization ที่ถูกค้นพบก่อนหน้านี้โดยการสร้าง blacklist ของคลาสหรือออบเจ็กต์ที่อาจถูกใช้ในการโจมตี แต่ทีมวิจัย watchTowr สามารถค้นพบชุดของ gadget chain ที่ไม่ได้อยู่ใน blacklist จึงสามารถใช้โจมตีได้ ช่องโหว่นี้ส่งผลกระทบเฉพาะกับการติดตั้ง Veeam ที่เชื่อมต่อกับโดเมน และสิ่งที่น่ากังวลคือผู้ใช้งานทุกคนในโดเมนสามารถใช้ช่องโหว่นี้ในการเข้าถึงเซิร์ฟเวอร์ได้ ทั้งที่ Veeam มีแนวปฏิบัติที่แนะนำไม่ให้เชื่อมต่อเซิร์ฟเวอร์สำรองข้อมูลเข้ากับโดเมนมาเป็นเวลานานแล้ว

แม้ยังไม่มีรายงานการโจมตีโดยใช้ช่องโหว่นี้ แต่ watchTowr ได้เปิดเผยรายละเอียดทางเทคนิคมากพอที่อาจนำไปสู่การสร้าง proof-of-concept ในเร็วๆ นี้ Veeam จึงแนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชัน 12.3.1 (build 12.3.1.1139) โดยเร็วที่สุด และพิจารณาปฏิบัติตามแนวทางความปลอดภัยของ Veeam โดยเฉพาะการแยกเซิร์ฟเวอร์สำรองข้อมูลออกจากโดเมน เนื่องจากกลุ่มแรนซัมแวร์มักใช้ระบบสำรองข้อมูลเป็นเป้าหมายในการโจมตีเพื่อขโมยข้อมูลและป้องกันการกู้คืน

ที่มา: https://www.bleepingcomputer.com/news/security/veeam-rce-bug-lets-domain-users-hack-backup-servers-patch-now/