Компания Veeam выпустила экстренные обновления безопасности для своего продукта Backup & Replication, закрыв сразу семь критических уязвимостей. Часть из них получила оценку 9.9 из 10 по шкале CVSS, что фактически означает максимальную степень опасности. Через эти бреши злоумышленники могли удалённо выполнять произвольный код, повышать привилегии в системе и манипулировать файлами на серверах резервного копирования.
Самой опасной из обнаруженных уязвимостей оказалась CVE-2026-21667 с оценкой CVSS 9.9. Она позволяла аутентифицированному доменному пользователю выполнить удалённый код непосредственно на сервере резервного копирования. Ещё одна уязвимость с таким же баллом — CVE-2026-21708 — давала возможность пользователю с ролью Backup Viewer запускать код от имени пользователя postgres, то есть с правами базы данных. CVE-2026-21669, тоже получившая 9.9 балла, открывала аналогичный вектор атаки для доменного пользователя.
Уязвимость CVE-2026-21671 с оценкой 9.1 была нацелена на конфигурации высокой доступности (HA). Пользователь с ролью администратора резервного копирования мог через неё выполнить удалённый код в таких развёртываниях. Это особенно тревожно, потому что конфигурации HA обычно используются в крупных инфраструктурах, где любой простой обходится дорого.
Две уязвимости получили оценку 8.8. CVE-2026-21668 позволяла аутентифицированному доменному пользователю обходить ограничения и манипулировать произвольными файлами в репозитории резервных копий. CVE-2026-21672 давала возможность локального повышения привилегий на серверах Veeam Backup & Replication, работающих под Windows.
Проблема затрагивает версию 12.3.2.4165 и все более ранние сборки двенадцатой ветки. Veeam выпустила два патча: версия 12.3.2.4465 исправляет уязвимости для сборок двенадцатой линейки, а версия 13.0.1.2067 целенаправленно закрывает CVE-2026-21672, CVE-2026-21708, CVE-2026-21669 и CVE-2026-21671.
Компания в своём бюллетене прямо предупредила: «Когда уязвимость и соответствующий патч раскрыты публично, злоумышленники, скорее всего, попытаются провести обратную разработку патча, чтобы эксплуатировать необновлённые развёртывания программного обеспечения Veeam». Формулировка жёсткая, и не зря. У Veeam уже накопилась неприятная история с этим — ранее обнаруженные уязвимости в их софте неоднократно использовались операторами программ-вымогателей для проведения атак на организации.
Собственно, именно поэтому медлить с обновлением не стоит. Резервные копии — это последний рубеж обороны при атаке шифровальщика. Если злоумышленник получает контроль над сервером бэкапов, жертве просто неоткуда восстанавливать данные. Это превращает любую вымогательскую атаку из неприятной в катастрофическую. Администраторам нужно обновить свои инстансы до актуальных версий как можно скорее, пока окно между публикацией патча и появлением эксплоитов ещё не захлопнулось.
Изображение носит иллюстративный характер
Самой опасной из обнаруженных уязвимостей оказалась CVE-2026-21667 с оценкой CVSS 9.9. Она позволяла аутентифицированному доменному пользователю выполнить удалённый код непосредственно на сервере резервного копирования. Ещё одна уязвимость с таким же баллом — CVE-2026-21708 — давала возможность пользователю с ролью Backup Viewer запускать код от имени пользователя postgres, то есть с правами базы данных. CVE-2026-21669, тоже получившая 9.9 балла, открывала аналогичный вектор атаки для доменного пользователя.
Уязвимость CVE-2026-21671 с оценкой 9.1 была нацелена на конфигурации высокой доступности (HA). Пользователь с ролью администратора резервного копирования мог через неё выполнить удалённый код в таких развёртываниях. Это особенно тревожно, потому что конфигурации HA обычно используются в крупных инфраструктурах, где любой простой обходится дорого.
Две уязвимости получили оценку 8.8. CVE-2026-21668 позволяла аутентифицированному доменному пользователю обходить ограничения и манипулировать произвольными файлами в репозитории резервных копий. CVE-2026-21672 давала возможность локального повышения привилегий на серверах Veeam Backup & Replication, работающих под Windows.
Проблема затрагивает версию 12.3.2.4165 и все более ранние сборки двенадцатой ветки. Veeam выпустила два патча: версия 12.3.2.4465 исправляет уязвимости для сборок двенадцатой линейки, а версия 13.0.1.2067 целенаправленно закрывает CVE-2026-21672, CVE-2026-21708, CVE-2026-21669 и CVE-2026-21671.
Компания в своём бюллетене прямо предупредила: «Когда уязвимость и соответствующий патч раскрыты публично, злоумышленники, скорее всего, попытаются провести обратную разработку патча, чтобы эксплуатировать необновлённые развёртывания программного обеспечения Veeam». Формулировка жёсткая, и не зря. У Veeam уже накопилась неприятная история с этим — ранее обнаруженные уязвимости в их софте неоднократно использовались операторами программ-вымогателей для проведения атак на организации.
Собственно, именно поэтому медлить с обновлением не стоит. Резервные копии — это последний рубеж обороны при атаке шифровальщика. Если злоумышленник получает контроль над сервером бэкапов, жертве просто неоткуда восстанавливать данные. Это превращает любую вымогательскую атаку из неприятной в катастрофическую. Администраторам нужно обновить свои инстансы до актуальных версий как можно скорее, пока окно между публикацией патча и появлением эксплоитов ещё не захлопнулось.
