Современные корпоративные системы резервного копирования играют ключевую роль в обеспечении непрерывности бизнеса и безопасности данных. Veeam Backup & Replication, один из лидирующих продуктов в этой сфере, используется во множестве организаций по всему миру для защиты критически важных данных. Однако в июне 2025 года стало известно о серьезной уязвимости удаленного выполнения кода (RCE), которая угрожает безопасности серверов резервного копирования Veeam. Ее обнаружение вызвало волну обеспокоенности среди ИТ-специалистов и администраторов, так как уязвимость затрагивает версии продукта вплоть до 12-й, включая широко распространенные инсталляции. В данной статье подробно рассмотрим происхождение, последствия и методы устранения данной проблемы, а также рекомендации по усилению безопасности при использовании Veeam Backup & Replication.
Проблема была выявлена специалистами из компаний watchTowr и CodeWhite и получила идентификатор CVE-2025-23121 с серьезной оценкой 9.9 по шкале CVSS, что указывает на крайне высокий уровень угрозы. Уязвимость доступна для эксплуатации только в установках Veeam, которые присоединены к домену Windows (domain-joined). По информации от представителей Veeam, потенциально опасная ошибка может позволить пользователям с подлинной доменной аутентификацией выполнить произвольный код на сервере резервного копирования. Такое положение дел ставит под угрозу целостность и конфиденциальность данных, а также стабильность работы всей инфраструктуры резервного копирования.
Удаленное выполнение кода – одна из наиболее опасных категорий уязвимостей, которая позволяет злоумышленнику запускать произвольные команды на сервере жертвы без ее ведома и согласия. В случае со Veeam RCE означала возможность компрометации не только самого инструмента резервного копирования, но и всей сети, к которой он подключен. Поскольку многие организации интегрируют Veeam Backup & Replication в свою Windows-доменную инфраструктуру, ошибка стала настоящей бомбой замедленного действия. Вредоносный пользователь домена получает возможность обходить ограничения и запускать код с правами сервера резервного копирования, что открывает широкие возможности для дальнейших атак, вплоть до получения контроля над корпоративной сетью. Корень проблемы, по мнению экспертов, связан с использованием устаревшего компонента BinaryFormatter, который применяется для сериализации и десериализации данных в .
NET. Сообщается, что приложения Veeam должны обрабатывать данные, получаемые из сериализованных объектов, однако BinaryFormatter признан Microsoft небезопасным для работы с такими данными из-за возможности внедрения вредоносных объектов, позволяющих выполнить произвольный код. Уже в марте 2025 года специалисты watchTowr обнаружили схожую уязвимость (CVE-2025-23120), связанную с неправильной десериализацией в внутренним классах Veeam Backup & Replication. Неустранение и повторное использование подобных уязвимостей свидетельствует о глубинной проблеме, которую производителю следует решать комплексно, включая отказ от BinaryFormatter в новых версиях продукта. Несмотря на то, что уязвимость CVE-2025-23121 затрагивает только установки, присоединенные к домену, потенциальный риск остается чрезвычайно высоким, так как большинство корпоративных пользователей Veeam используют подобные архитектуры для интеграции с Active Directory.
При этом специалисты Veeam рекомендуют по возможности использовать отдельный Active Directory Forest для выделенных серверов резервного копирования и обязательно защищать административные учётные записи с помощью многофакторной аутентификации (MFA). Такие меры значительно снижают риск эксплуатации уязвимости, хотя и не гарантируют абсолютной безопасности без обновления ПО. В целях минимизации рисков Veeam оперативно выпустил обновление версии Backup & Replication 12.3.2.
3617, в котором устранены обнаруженные недостатки. Всем организациям, использующим продукт, крайне рекомендуется как можно скорее провести обновление до этой версии. Быстрая реакция позволит избежать возможных инцидентов, связанных с компрометацией серверов резервного копирования и последующей потерей важных данных. Кроме того, компаниям следует усилить мониторинг активности в доменных учетных записях и серверах, уделяя особое внимание любым необычным или подозрительным действиям, которые могут свидетельствовать о попытках эксплуатации уязвимости. Внедрение систем выявления вторжений, регулярный аудит прав доступа и периодическая проверка состояния ПО – дополнительные меры профилактики.
Инциденты подобного рода подчеркивают важность комплексного подхода к безопасности ИТ-инфраструктуры. Невзирая на все преимущества современных решений резервного копирования, их конфигурация и эксплуатация должны соответствовать рекомендациям производителя и лучшим отраслевым практикам. Особое внимание следует уделять сегментации сети, защите административных аккаунтов, отказу от устаревших технологий и постоянному мониторингу актуальных уязвимостей, чтобы оперативно реагировать на новые угрозы. Ситуация с CVE-2025-23121 также демонстрирует, насколько важно взаимодействие между исследовательским сообществом и производителями ПО. Профессиональное обнаружение уязвимостей и публикация отчётов позволяет своевременно принимать меры и повышать общий уровень кибербезопасности.
Подводя итог, критическая RCE-уязвимость в Veeam Backup & Replication стала серьезным сигналом для всех пользователей этого продукта. Для защиты корпоративной инфраструктуры рекомендуется незамедлительно обновить программное обеспечение до версии 12.3.2.3617, пересмотреть настройки инфраструктуры безопасности, ограничить доступ к серверам резервного копирования и внедрить дополнительные уровни аутентификации.
Выполнение этих рекомендаций позволит значительно снизить риск компрометации данных и обеспечит устойчивую работу систем резервного копирования на долгосрочную перспективу.
