В программном обеспечении Veeam Backup & Replication обнаружена критическая уязвимость, позволяющая выполнять удалённый запуск кода через учетные записи доменных пользователей. Проблема затрагивает версию 12.3.0.310 и все предыдущие сборки версии 12, что подтверждает её широкое воздействие на пользователей.
Уязвимость, обозначенная как CVE-2025-23120, получила оценку 9.9 из 10 по шкале CVSS. Нарушения вызваны некорректной работой механизма десериализации, где разрешённый класс подвергается первичной десериализации, а последующая внутренняя десериализация обходится с использованием блокированного списка, не охватывающего один из десериализационных гаджетов.
В частности, атакующему доступны два десериализационных гаджета – Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary – используемые внутри системы, что позволяет злоумышленнику инициировать цепочку уязвимостей и выполнить произвольный код. Патч решает проблему путём добавления указанных гаджетов в блокированный список.
Обнаружение и анализ проблемы были выполнены исследователем Piotr Bazydlo из watchTowr с дальнейшей аналитической поддержкой со стороны Sina Kheirkhah. Модификация ликвидировала угрозу, и обновление выпущено в версии 12.3.1 (сборка 12.3.1.1139), однако остаётся риск появления новых десериализационных гаджетов, требующих последующих корректировок.
Эксплуатация уязвимости возможна как с использованием локальной группы пользователей Windows-хоста Veeam-сервера, так и через доменные учетные записи при участии сервера в домене. Это подчёркивает необходимость установки обновления для предотвращения потенциальных атак на корпоративную инфраструктуру.
IBM выпустила исправления для операционной системы AIX, затрагивающие версий 7.2 и 7.3. Одной из уязвимостей с максимальной оценкой CVSS 10.0 (CVE-2024-56346) является нарушение контроля доступа, которое позволяет удалённому злоумышленнику запускать произвольные команды через сервис AIX nimesis NIM master.
Вторая уязвимость в AIX, обозначенная как CVE-2024-56347 и оценённая в 9.6 баллов по шкале CVSS, связана с недостаточной защитой SSL/TLS в сервисе nimsh, что также может привести к удалённому выполнению команд. Отметим, что на данный момент не зафиксировано фактического использования данных уязвимостей в реальной эксплуатации.
Немедленное применение обновлений остаётся единственным способом минимизировать риск несанкционированного доступа, что требует постоянного контроля за работой десериализации в резервном копировании и строгого соблюдения мер безопасности в системах, управляющих критически важной инфраструктурой.
Изображение носит иллюстративный характер
Уязвимость, обозначенная как CVE-2025-23120, получила оценку 9.9 из 10 по шкале CVSS. Нарушения вызваны некорректной работой механизма десериализации, где разрешённый класс подвергается первичной десериализации, а последующая внутренняя десериализация обходится с использованием блокированного списка, не охватывающего один из десериализационных гаджетов.
В частности, атакующему доступны два десериализационных гаджета – Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary – используемые внутри системы, что позволяет злоумышленнику инициировать цепочку уязвимостей и выполнить произвольный код. Патч решает проблему путём добавления указанных гаджетов в блокированный список.
Обнаружение и анализ проблемы были выполнены исследователем Piotr Bazydlo из watchTowr с дальнейшей аналитической поддержкой со стороны Sina Kheirkhah. Модификация ликвидировала угрозу, и обновление выпущено в версии 12.3.1 (сборка 12.3.1.1139), однако остаётся риск появления новых десериализационных гаджетов, требующих последующих корректировок.
Эксплуатация уязвимости возможна как с использованием локальной группы пользователей Windows-хоста Veeam-сервера, так и через доменные учетные записи при участии сервера в домене. Это подчёркивает необходимость установки обновления для предотвращения потенциальных атак на корпоративную инфраструктуру.
IBM выпустила исправления для операционной системы AIX, затрагивающие версий 7.2 и 7.3. Одной из уязвимостей с максимальной оценкой CVSS 10.0 (CVE-2024-56346) является нарушение контроля доступа, которое позволяет удалённому злоумышленнику запускать произвольные команды через сервис AIX nimesis NIM master.
Вторая уязвимость в AIX, обозначенная как CVE-2024-56347 и оценённая в 9.6 баллов по шкале CVSS, связана с недостаточной защитой SSL/TLS в сервисе nimsh, что также может привести к удалённому выполнению команд. Отметим, что на данный момент не зафиксировано фактического использования данных уязвимостей в реальной эксплуатации.
Немедленное применение обновлений остаётся единственным способом минимизировать риск несанкционированного доступа, что требует постоянного контроля за работой десериализации в резервном копировании и строгого соблюдения мер безопасности в системах, управляющих критически важной инфраструктурой.
