🛡 概要
Veeamは、バックアップとレプリケーション(VBR)のソフトウェアにおいて、複数の脆弱性を修正するセキュリティアップデートを発表しました。中でも、CVE-2025-23121として追跡されるリモートコード実行(RCE)脆弱性が特に重要です。この脆弱性は、ドメインに接続されたインストールにのみ影響を及ぼし、認証されたドメインユーザーによって悪用される可能性があります。これにより、バックアップサーバー上でのコード実行が可能となり、組織全体に深刻な影響を与える可能性があります。
🔍 技術詳細
CVE-2025-23121は、Veeam Backup & Replication 12以降に影響を与える脆弱性であり、低複雑性の攻撃により悪用される可能性があります。この脆弱性は、Veeamが推奨するベストプラクティスに従っていない多くの企業に影響を与えており、特にバックアップサーバーがWindowsドメインに結合されている場合にリスクが高まります。Veeamは、バージョン12.3.2.3617でこの脆弱性を修正しました。また、CVE-2025-23120やCVE-2024-40711といった他のRCE脆弱性も存在し、これらも同様にドメイン接続されたインストールに影響を与えています。
⚠ 影響
この脆弱性の悪用により、攻撃者はバックアップサーバーにリモートでコードを実行できるため、企業のデータが危険にさらされる可能性があります。特に、ランサムウェアグループはVeeamのバックアップサーバーをターゲットにしており、バックアップを削除することでデータ復旧を妨害します。これにより、企業は重要なデータを失うリスクが高まります。Sophos X-Opsによると、CVE-2024-40711はFragランサムウェアの展開に利用されており、過去にもCubaランサムウェアグループやFIN7などがVBRの脆弱性を悪用していました。
🛠 対策
企業は、Veeamの推奨に従い、バックアップサーバーを別のActive Directoryフォレストに配置し、管理アカウントを二要素認証で保護することが重要です。また、最新のセキュリティアップデートを適用し、脆弱性を悪用されるリスクを低減する必要があります。バックアップサーバーのセキュリティを強化することで、攻撃者による不正アクセスを防ぎ、企業データの保護を図ることができます。特に、ドメインに接続されている環境では、より厳重なセキュリティ対策が求められます。
