Veeam ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE), identificada como CVE-2025-23120, que afecta a las instalaciones de Backup & Replication que están unidas a un dominio.
Detalles de la Vulnerabilidad
- Software afectado: Veeam Backup & Replication versión 12.3.0.310 y todas las versiones anteriores de la 12.
- Versión corregida: 12.3.1 (build 12.3.1.1139), lanzada el 19 de marzo de 2025.
- Tipo de falla: Vulnerabilidad de deserialización en las clases Veeam.Backup.EsxManager.xmlFrameworkDs y Veeam.Backup.Core.BackupSummary .NET.
Una vulnerabilidad de deserialización ocurre cuando una aplicación procesa incorrectamente datos serializados, permitiendo a atacantes inyectar objetos maliciosos que ejecutan código dañino.
¿Cómo se descubrió el fallo?
El equipo de investigación de watchTowr Labs encontró la vulnerabilidad mientras revisaba un fallo previo de deserialización RCE, descubierto por el investigador Florian Hauser el año pasado.
Para solucionar el problema anterior, Veeam agregó una lista negra de clases u objetos explotables.
Aunque watchTowr identificó una nueva cadena de deserialización que no estaba en la lista negra, lo que permitió nuevamente la ejecución remota de código.
Según el informe de watchTowr: “Parece que Veeam no aprendió la lección después de la investigación publicada por Frycos. En lugar de corregir el problema de raíz, simplemente agregaron entradas a la lista negra.”
Impacto y Riesgo ⚠️
- Solo afecta instalaciones unidas a un dominio, lo que significa que cualquier usuario dentro del dominio puede explotar la vulnerabilidad.
- Muchas empresas configuran Veeam en un dominio, a pesar de que la compañía ha recomendado evitarlo.
- Los grupos de ransomware consideran a los servidores Veeam como objetivos prioritarios, ya que les permite robar datos y eliminar respaldos, bloqueando la recuperación tras un ataque.
Este nuevo fallo facilita aún más la infiltración, lo que hace que las instalaciones de Veeam sean un blanco aún más valioso.
¿Qué hacer ahora? ️
Actualiza a la versión 12.3.1 inmediatamente para corregir la vulnerabilidad.
Revisa las mejores prácticas de Veeam y, si es posible, desvincula el servidor del dominio.
Monitorea actividades sospechosas y refuerza la seguridad en los servidores de respaldo.
Aunque aún no hay informes de explotación activa, watchTowr ha publicado suficientes detalles técnicos como para que pronto aparezca un exploit de prueba de concepto (PoC).
Si usas Veeam Backup & Replication, prioriza la actualización ahora para proteger tus datos y evitar ser un objetivo fácil para atacantes.