Critical Veeam Backup RCE Vulnerabilities Let Attackers Execute Malicious Code Remotely
2025/10/15 CyberSecurityNews — Veeam Software が公表したのは、Backup & Replication スイートおよび Agent for Microsoft Windows に存在する3件の深刻なセキュリティ脆弱性の情報である。これらの脆弱性を悪用する攻撃者により、リモート・コード実行と権限昇格が可能となり、企業のバックアップ・インフラが侵害される恐れがある。これらの脆弱性が影響を及ぼす範囲は、主にソフトウェア・バージョン 12 のドメイン参加型のシステムとなる。ユーザー組織に推奨されるのは、直ちに修正プログラムを適用し、潜在的なデータ漏洩やランサムウェアによる悪用を防ぐことだ。
マウントサービスの RCE の脆弱性がバックアップ・ホストを脅かす
1つ目の深刻な脆弱性 CVE-2025-48983 (CVSS:9.9) は、Veeam Backup & Replication のマウント・サービスに存在し、認証済のドメイン・ユーザーに対して、バックアップ・インフラ・ホスト上での任意のコード実行を許すものだ。
この脆弱性は、CODE WHITE により報告され、バージョン 12.3.2.3617 以下のすべてのビルドに影響を与える。この影響の範囲には、脆弱性が存在する可能性のあるサポート終了済みの旧リリースも含まれる。
| CVE ID | Description | Severity | CVSS v3.1 Score | Affected Versions | Patched Version |
|---|---|---|---|---|---|
| CVE-2025-48983 | Veeam Backup & Replication 12.3.2.3617 and all earlier versions 12 builds | Critical | 9.9 | Veeam Backup & Replication 12.3.2.3617 and all earlier version of 12 builds | 12.3.2.4165 Patch |
| CVE-2025-48984 | Vulnerability allowing RCE on the Backup Server by an authenticated domain user | Critical | 9.9 | Veeam Agent for Microsoft Windows 6.3.2.1205 and all earlier versions 6 builds | 12.3.2.4165 Patch |
| CVE-2025-48982 | Local Privilege Escalation in Veeam Agent for Microsoft Windows if an administrator is tricked into restoring malicious file | High | 7.3 | Local Privilege Escalation in Veeam Agent for Microsoft Windows if administrator is tricked into restoring malicious file | 6.3.2.1302 |
Veeam Software によると、ドメイン参加型コンフィグの環境だけが危険にさらされており、Veeam Software Appliance および今後リリースされるバージョン 13 は影響を受けないとのことだ。
この問題を解決するパッチ・ビルド 12.3.2.4165 ではサービスが強化され、不正なコード・インジェクションが防止される。管理者に対して推奨されるセキュリティ強化は、ドメイン統合ではなくワーク・グループ設定を優先し、Veeam のベスト・プラクティスに従うことだ。
バックアップ・サーバがドメイン・ユーザー攻撃にさらされる
2つ目の脆弱性 CVE-2025-48984 (CVSS:9.9) を悪用する認証済のドメイン・ユーザーは、バックアップ・サーバ自体を標的とするリモート・コード実行 (RCE) を引き起こす可能性がある。
この脆弱性は watchTower の Sina Kheirkhah と Piotr Bazydlo により発見され、バージョン 12.3.2.3617 以下のすべてのビルドに影響を及ぼす。ただし、ドメインに参加している Veeam Backup & Replication 環境に限定される。
このリスクはパッチ 12.3.2.4165 により排除される。サポート対象外のバージョンは明示的にテストされていないが、脆弱なバージョンとして扱う必要がある。ハイブリッド環境や Active Directory 統合環境では、迅速なアップデートが必要となる。
この脆弱性が浮き彫りにするのは、バックアップ・システムにおいて過剰な権限を持つドメイン・アクセスの危険性である。その結果として、ネットワークを介したラテラル・ムーブメント (横方向の移動) が可能になる。
エージェントのリストア脆弱性による権限昇格の可能性
3つ目の脆弱性 CVE-2025-48982 (CVSS:7.3) が引き起こすのは、 Veeam Agent for Microsoft Windows のリモート・コード実行 (RCE) の問題だけではない。管理者が悪意のファイルをリストアすると、ローカル権限昇格が可能になる。
この脆弱性は、Trend Micro の Zero Day Initiative を通じて、匿名の研究者から報告された。その影響の範囲は、バージョン 6.3.2.1205 以下であり、Backup & Replication 機能に統合されるバージョンおよびスタンドアロン・バージョンが対象となる。
この脆弱性を悪用する前提として、ユーザーを騙してリストアさせる必要があるが、それに成功した攻撃者は大幅な権限昇格を可能にする。このパッチは、ビルド 6.3.2.1302 として提供され、Windows 環境におけるエンドポイント保護には不可欠なものとなる。
Veeam が推奨するのは、すべてのエージェント・インスタンスの検証と、バックアップの分離により、ソーシャル・エンジニアリングのリスクを軽減することだ。影響を受けるバージョンを使用している組織は、アップデートを優先的に適用し、コード実行の脅威に対処する必要がある。
Veeam の一連の脆弱性は、過剰な権限付与と入力/処理の検証不足に起因するものです。マウント・サービスで不正な入力を適切に検証できないため、コード注入が許され、ドメイン参加型の過剰な権限にバックアップ・サーバがさらされます。さらに、エージェントのリストア処理で、悪意あるファイルを取り扱うと、ローカル権限が昇格してしまう問題もあります。これらが組み合わさると、リモート・コード実行や権限昇格を通じてバックアップの基盤自体が侵害され、横展開や機密データ流出の踏み台になり得ると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Veeam で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.