Siber Güvenlik

Veeam Yedekleme ve Replikasyonda Acil RCE Açığına Çözüm!

teknomers
teknomers

Veeam Yazılımında Kritik Güvenlik Açıkları

Veeam, Backup & Replication yazılımında uzaktan kod yürütme (RCE) gibi kritik bir açığı da içeren çoklu güvenlik güncellemeleri yayınladı. Bu açık, CVE-2025-59470 olarak tanımlanmakta olup, CVSS puanı 9.0 olarak değerlendirilmiştir.

Contents

Saldırı Nasıl Çalışıyor?

Bu güvenlik açığı, bir Backup veya Tape Operator kullanıcısının, kötü niyetli bir interval ya da order parametresi göndererek postgres kullanıcısı olarak uzaktan kod yürütmesi (RCE) yapmasına olanak tanımaktadır. Veeam’in belgelerine göre, Backup Operator rolüne sahip bir kullanıcı mevcut işleri başlatıp durdurabilir; yedekleri dışa aktarabilir ve VeeamZip yedekleri oluşturabilir. Tape Operator kullanıcısı ise, bant yedekleme işleri yürütebilir, bantları dışa ve içe aktarabilir ve bant şifrelerini ayarlayabilir.

Bu roller yüksek ayrıcalıklara sahip olup, kötüye kullanımını önlemek için organizasyonların gereken koruma önlemlerini almaları oldukça önemlidir.

Etkilenen Sistemler

Bu güvenlik açıklarından etkilen sistemler aşağıda listelenmiştir:

  • CVE-2025-59470 (CVSS puanı: 9.0)
  • CVE-2025-55125 (CVSS puanı: 7.2) – Kötü niyetli bir yedekleme yapılandırma dosyası oluşturarak root yetkisi ile RCE yapma olanağı
  • CVE-2025-59468 (CVSS puanı: 6.7) – Kötü niyetli bir parola parametresi göndererek postgres kullanıcısı olarak RCE yapma olanağı
  • CVE-2025-59469 (CVSS puanı: 7.2) – Root olarak dosya yazma olanağı

Tüm bu açıklar, Veeam Backup & Replication 13.0.1.180 ve daha önceki 13 sürümlerini etkilemektedir ve Backup & Replication 13.0.1.1071 sürümünde giderilmiştir.

Çözüm ve Korunma

Veeam, güvenlik açığını “yüksek şiddet” olarak değerlendirmekte, ancak CVSS puanının yanı sıra, önerilen Güvenlik Kılavuzları'ını takip eden müşterilerin bu açığın kötüye kullanılma ihtimalinin azaltılacağını belirtmektedir.

Sonuç

Kullanıcıların, Veeam yazılımının güncellemelerini hızlı bir şekilde yapmaları gerekmektedir. Yazılımın daha önceki sürümlerinde açığın kötüye kullanıldığı durumlar olmuştur. Güncellemeleri uygulayarak ve önerilen güvenlik kılavuzlarına uyarak sistem güvenliğinizi sağlamlaştırmalısınız. Ayrıca, ilgili portları kapatmayı ve erişim kontrollerini gözden geçirmeyi unutmayın.

Intel, işlemcilerde NPU’nun oyuncular için bir çözüm olarak reklam vermeye karar verdi. AI asistanı patronu yenmeye ve performansı artırmaya yardımcı olacak
Microsoft, ‘Aşil’ macOS Gatekeeper Bypass Konusunda Uyardı
Etkin Olarak Yararlanılan Yeni Windows MotW Güvenlik Açığı için Resmi Olmayan Yama Yayınlandı
Microsoft ve OpenAI, Ulus-Devlet Bilgisayar Korsanlarının Siber Saldırılar İçin Yapay Zekayı Silahlandırdığı Konusunda Uyardı
Kritik UNISOC Çip Güvenlik Açığı Milyonlarca Android Akıllı Telefonu Etkiliyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Okyanuslar Neden Sıcaklığa Yeniden Rekor Kırıyor?
Sonraki Makale Oyun Geliştiricileri İçin Fortnite’ta Yeni Ada Yayınlama İmkanları

Sanal Medya

Son Eklenenler

Çalışan LED Maskeleri ve Saç Büyüme Araçları için En İyi Prime Day Fırsatları
Genel
Microsoft daha uygun fiyatlı Surface cihazları tanıttı, bellek yarıya düştü
Liste
Laravel Maestro Katkı Sağlayıcı Eğitimi – DEV Community
Yazılım
Bu ABD şirketi bellek çipi kriziyle büyüme kaydediyor
Yapay Zeka
TP-Link Archer Wi-Fi 7 Router: 9.3 Gbps, Şimdi %40 İndirimli
Donanım
Cerebras Hisseleri, CEO’nun Marj Beklentisi Yanlış Anlaşıldı Demesiyle Düşüşte
Genel