CVE-2025-23114 (CVSS 9.0): Critical Veeam Backup Vulnerability Enables Remote Code Execution
2025/02/04 SecurityOnline — Veeam Backup and Replication のコアである、Veeam Updater コンポーネントに深刻な脆弱性 CVE-2025-23114 (CVSS:9.0) が発見された。この脆弱性により、攻撃者は中間者 (MitM) 攻撃を実行し、影響を受けるアプライアンス・サーバ上での、ルート・レベルの権限取得の可能性を得る。
この脆弱性は、以下の Veeam 製品に影響を及ぼす:
- Veeam Backup for Salesforce:バージョン 3.1 以下
- Veeam Backup for Nutanix AHV:バージョン 5.0/5.1
- Veeam Backup for AWS:バージョン 6a/7
- Veeam Backup for Microsoft Azure:バージョン 5a/6
- Veeam Backup for Google Cloud:バージョン 4/5
- Veeam Backup for Oracle Linux Virtualization Manager/Red Hat Virtualization:バージョン 3/4.0/4.1
複数の Veeam バックアップ製品において、更新の管理を担当するコンポーネント Veeam Updater に、この脆弱性は存在する。脆弱性 CVE-2025-23114 の悪用に成功し、脆弱な Veeam アプライアンスと更新サーバの間にポジションを確保した攻撃者は、更新要求を傍受して改ざんし、システムに悪意のコードを挿入する可能性を得る。この中間者攻撃には、ルート・アクセスが許されてしまうため、システムの完全な侵害にいたるとされる。その結果として、データの窃取/ランサムウェアの展開/インフラス内での永続的なアクセスなどうが生じる可能性がある。
すでに Veeam は、Veeam Updater コンポーネントの更新バージョンをリリースし、この脆弱性に対処している。以下の表は、影響を受ける各製品に対応し、脆弱性を解決するバージョンの概要を示している。
| Product | Updater Version |
|---|---|
| Veeam Backup for Salesforce | 7.9.0.1124 |
| Veeam Backup for Nutanix AHV | 9.0.0.1125 |
| Veeam Backup for AWS | 9.0.0.1126 |
| Veeam Backup for Microsoft Azure | 9.0.0.1128 |
| Veeam Backup for Google Cloud | 9.0.0.1128 |
| Veeam Backup for Oracle Linux Virtualization Manager and Red Hat Virtualization | 9.0.0.1127 |
影響を受ける Veeam 製品のユーザーに対して、強く推奨されるのは、ただちにシステムを更新することだ。その手順は、組み込みの Veeam Updater を使用して、Veeam Updater コンポーネント自体を更新することで完了する。なお、製品内の更新履歴を表示して、現在の Updater バージョンを確認することも可能だ。
Veeam Backup & Replication 12.3 により、すでにアプライアンスを更新している場合には、この脆弱性の影響を受けない可能性が高いことに注意してほしい。ただし、Updater により、使用中のバージョンを確認することを推奨する。
Veeam VBR の RCE 脆弱性 CVE-2025-23114 が FIXしました。このところ、Veeam 脆弱性の報告が相次いでいます。Veeam の脆弱性は、過去にもランサムウェアによる悪用された事例があるため、十分な注意が必要です。よろしければ、Veeam で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.