Veeam ได้ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่หลายจุดในซอฟต์แวร์ Backup & Replication รวมถึงช่องโหว่ Remote Code Execution (RCE) ที่มีความรุนแรงสูง ช่องโหว่เหล่านี้ (CVE-2025-59470, CVE-2025-55125, CVE-2025-59468) อาจเปิดเผยเซิร์ฟเวอร์สำรองข้อมูลต่อการโจมตีจากผู้โจมตีที่มีสิทธิ์ระดับ Backup หรือ Tape Operator ทำให้สามารถรันโค้ดจากระยะไกลได้ ซอฟต์แวร์ Veeam Backup & Replication มักเป็นเป้าหมายหลักของกลุ่มแรนซัมแวร์ เนื่องจากช่วยให้สามารถขโมยข้อมูลและขัดขวางการกู้คืนข้อมูลได้ง่าย
Severity: สูง (ช่องโหว่ RCE CVE-2025-59470 เดิมถูกจัดเป็นวิกฤต แต่ถูกปรับเป็นสูงเนื่องจากต้องมีสิทธิ์ Backup หรือ Tape Operator ในการโจมตีได้สำเร็จ นอกจากนี้ยังมีช่องโหว่ RCE อื่น ๆ ที่มีระดับความรุนแรงสูงและปานกลาง)
System Impact:
- Veeam Backup & Replication 13.0.1.180 และเวอร์ชัน 13 ก่อนหน้าทั้งหมด
- Veeam Backup & Replication (VBR)
Technical Attack Steps:
- ผู้โจมตีต้องมีสิทธิ์ระดับ Backup Operator หรือ Tape Operator
- CVE-2025-59470: ผู้โจมตีส่งพารามิเตอร์ `interval` หรือ `order` ที่เป็นอันตรายเพื่อดำเนินการ Remote Code Execution (RCE) ในฐานะผู้ใช้ `postgres`
- CVE-2025-55125: ผู้โจมตีสร้างไฟล์การกำหนดค่าสำรองข้อมูลที่เป็นอันตรายเพื่อดำเนินการ Remote Code Execution (RCE)
- CVE-2025-59468: ผู้โจมตีส่งพารามิเตอร์ `password` ที่เป็นอันตรายเพื่อดำเนินการ Remote Code Execution (RCE)
Recommendations:
Short Term:
- อัปเดต Veeam Backup & Replication เป็นเวอร์ชัน 13.0.1.1071 ทันที เพื่อแก้ไขช่องโหว่ CVE-2025-59470, CVE-2025-55125 และ CVE-2025-59468
- ปกป้องบทบาท Backup Operator และ Tape Operator อย่างเข้มงวด เนื่องจากถือเป็นสิทธิ์สูง
Long Term:
- ปฏิบัติตามแนวทางความปลอดภัยที่ Veeam แนะนำอย่างเคร่งครัด เพื่อลดโอกาสในการถูกโจมตี
- ตรวจสอบและจัดการสิทธิ์การเข้าถึงอย่างสม่ำเสมอ โดยเฉพาะสำหรับบทบาทที่มีสิทธิ์สูง
- ติดตามข่าวสารและอัปเดตด้านความปลอดภัยจาก Veeam และแหล่งข้อมูลที่น่าเชื่อถืออย่างต่อเนื่อง
- เสริมสร้างการป้องกันสำหรับเซิร์ฟเวอร์สำรองข้อมูล เนื่องจากเป็นเป้าหมายสำคัญของกลุ่มแรนซัมแวร์
Share this content: