Veeam Software, veri koruma çözümü Backup & Replication’ında bir dizi güvenlik açığını kapattı. Bu güncellemeler arasında dört kritik uzaktan kod yürütme (RCE) zafiyeti bulunmaktadır.
Açıkların Detayları
Veeam Backup & Replication (VBR), BT yöneticilerine kritik verilerin yedeklenmesi ve siber saldırılar ya da donanım arızalarından hızlı bir şekilde kurtarılması için yardımcı olan bir yazılımdır. Patchlenen üç RCE açığı, CVE-2026-21666, CVE-2026-21667 ve CVE-2026-21669, düşük ayrıcalıklara sahip alan kullanıcılarının, düşük karmaşıklıkta saldırılarla güvenlik açığı olan yedek sunucularda uzaktan kod çalıştırmasına imkan tanımaktadır. Dördüncü açık ise CVE-2026-21708 kodu ile izlenmektedir ve bir Yedekleme Görüntüleyicisinin, postgres kullanıcısı olarak uzaktan kod yürütmesine olanak sağlamaktadır.
Etkilenen Sistemler
Veeam, Windows tabanlı Veeam Backup & Replication sunucularında ayrıcalıkları artırma, kaydedilmiş SSH kimlik bilgilerini çıkarma ve yedekleme deposundaki rastgele dosyaların manipülasyonunu sağlamak için kullanılabilecek yüksek yeterlilikteki birkaç güvenlik hatasını da gidermiştir. Bu açıklar, iç testler sırasında keşfedilmiş veya HackerOne aracılığıyla rapor edilmiştir ve Veeam Backup & Replication sürümlerinde 12.3.2.4465 ve 13.0.1.2067 ile çözülmüştür.
Çözüm ve Korunma
- Yazılımınızı en son sürümüne güncelleyiniz.
- Açıkların kapatıldığı güncellemeleri ve yamaları zamanında uygulayınız.
- Siber saldırganların, bir zafiyetle ilgili yamanın açıklanmasından sonra, yamalanmamış sürümleri istismar etme girişiminde bulunabileceklerini unutmayın.
Veeam, tüm yöneticilerin yazılımlarını en kısa sürede güncellemeleri gerektiğini vurguluyor. Aksi takdirde, saldırganlar yamanmamış sistemleri hedef alabilir.
VBR Sunucuları ve Ransomware Tehditleri
VBR, yönetilen hizmet sağlayıcılar ve orta büyüklükteki büyük işletmeler arasında popüler bir kullanım alanına sahiptir. Ransomware grupları, VBR sunucularını hedef alarak ağlar içerisinde hızlı hareket etme, veri çalma ve kurbanların yedeklerini silerek geri yükleme çabalarını engelleme amacı gütmektedirler. Finansal motivasyona sahip FIN7 tehdit grubu, daha önce birçok ransomware grubu ile iş birliği yapmış olup, VBR zayıflıklarına yönelik saldırılar gerçekleştirmiştir.
Ayrıca, Sophos X-Ops olay müdahale ekipleri, Kasım 2024’te Frag ransomware’nin daha önce açıklanan başka bir VBR RCE açığını kullandığını ve Akira ve Fog ransomware saldırıları sırasında bu açığı kullandığını ortaya koymuştur. Veeam’in ürünleri dünya çapında 550.000’den fazla müşteri tarafından kullanılmakta olup, bu rakam Global 2000 şirketlerinin %74’ü ve Fortune 500 şirketlerinin %82’sini kapsamaktadır.
Bu nedenle, sistem yöneticileri mümkün olan en kısa sürede güncelleme yapmalı ve tüm yamanın uygulandığından emin olmalıdır.
