記事本文(要約)
Veeamは、Backup & Replicationソフトウェアにおける深刻なリモートコード実行の脆弱性(CVE-2025-23120)を修正しました。この脆弱性は、ドメインに参加したインストールに影響を与えます。問題のあるバージョンは12.3.0.310およびそれ以前の12のすべてのビルドで、修正版は12.3.1(ビルド12.3.1.1139)です。
この脆弱性は、以前に発見されたデシリアライズの欠陥を回避する新たな手法を示したもので、ドメインに参加した環境で特に危険です。この脆弱性はどのドメインユーザーでも悪用可能で、多くの企業がドメインを無視してサーバー接続を設定しており、特にリスクが高まっています。現時点ではこの脆弱性が実際に悪用されたとの報告はないものの、技術詳細が既に公開されており、Proof-of-Concept(PoC)が近々公開される可能性があります。Veeam Backup & Replicationを使用している企業は、即座にバージョン12.3.1にアップデートし、ベストプラクティスを確認し、可能であればサーバーをドメインから切り離すことを推奨します。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 20 Mar 2025 19:30:38 -0400
Original URL: https://www.bleepingcomputer.com/news/security/veeam-rce-bug-lets-domain-users-hack-backup-servers-patch-now/
詳細な技術情報
- CVE番号
- CVE-2025-23120
- 脆弱性の仕組み
- CVE-2025-23120は、VeeamのBackup & Replicationソフトウェアで使用されているVeeam.Backup.EsxManager.xmlFrameworkDsおよびVeeam.Backup.Core.BackupSummaryという.NETクラスにおけるシリアライズ解除の(デシリアライズ)の脆弱性です。この脆弱性は、シリアライズされたデータを不適切に処理すると、攻撃者が悪意のあるオブジェクトやコードを注入できるというもので、結果として任意のコードが実行される可能性があります。
- 攻撃手法
- 攻撃者は、脆弱性を悪用してシリアライズ解除プロセスに悪意のあるオブジェクトを注入する「ガジェットチェーン」を見つけ、リモートで任意のコードを実行することができます。これは、Veeamが先に導入したブラックリストによる防御を迂回する新たなガジェットチェーンを発見することで可能となりました。
- 潜在的な影響
- データの窃取や破損: 攻撃者はバックアップデータにアクセスし、データの窃取、破壊、または改ざんを行う可能性があります。
- バックアップの削除: ランサムウェア攻撃者がこれを利用してバックアップを削除し、データ復旧を妨害する可能性があります。
- 攻撃の容易さ: この脆弱性はドメインに参加した環境であればどのドメインユーザーでも悪用できるため、特に危険性が高いと言えます。
- 推奨される対策
- 1. アップグレード: 脆弱性を悪用されないよう、Veeam Backup & Replicationをバージョン12.3.1(ビルド12.3.1.1139)に速やかにアップグレードすることを推奨します。
- 2. ベストプラクティスの確認: Veeamの推奨するベストプラクティスを見直し、特に、サーバーをドメインから切り離すことを検討してください。ドメインから切り離すことで、この脆弱性を利用する機会を制限できます。
- 3. ネットワーク管理の見直し: サーバーのアクセス権を見直し、不要なドメインユーザーアカウントや権限を再評価することが重要です。
- 4. 監視とログ分析: システムの異常な動作についての監視を強化し、システムログを分析して不審なアクティビティを早期に検出します。
