[English]Nutzer von Veeam Backup & Replication müssen reagieren. Der Anbieter Veeam hat zum 19. März 2025 über eine Remote Code Execution (RCE) Schwachstelle CVE-2025-23120 in verschiedenen Versionen des genannten Produkts informiert. Es gibt Sicherheitsupdates, um diese Schwachstelle zu schließen.
Anzeige
Die Blog-Leser Jonathan und Dennis wiesen mich vor einigen Stunden auf die RCE Schwachstelle CVE-2025-23120 in Veeam-Produkten hin (danke dafür). Zudem wurde in diesem Kommentar von diversen Lesern auf diesen Sachverhalt hingewiesen.
RCE-Schwachstelle CVE-2025-23120
Veeam hat zum 19. März 2025 den Knowledge-Base-Artikel kb4724 zur Schwachstelle CVE-2025-23120 veröffentlicht. Es handelt sich um eine Sicherheitslücke, die eine Remotecodeausführung (RCE) durch authentifizierte Domänenbenutzer ermöglicht.
Die Schwachstelle wurde mit einem CVSS v3.1-Index von 9.9 bewertet. Veeam weist darauf hin, dass diese Sicherheitslücke nur domänenverbundene Backup-Server betrifft. Der Einsatz der Software in dieser Umgebung verstoße aber gegen die Best Practices für Sicherheit und Compliance.
Betroffen sind Veeam Backup & Replication 12.3.0.310 und alle älteren Builds der Version 12 (also 12.0, 12.1, 12.2, 12.3). Die Sicherheitslücke wurde mit Veeam Backup & Replication 12.3.1 (Build 12.3.1.1139) behoben.
Anzeige
Veeam Backup & Replication
Veeam Backup & Replication ist eine proprietäre Backup-Lösung, die von Veeam Software als eines der ersten weit verbreiteten Produkte entwickelt wurde. Backups können vollständig (eine vollständige Kopie des VM-Images) oder inkrementell (Speicherung nur der geänderten Datenblöcke seit dem letzten Backup-Auftrag) angefertigt werden.
Veeam Backup & Replication bietet eine automatisierte Wiederherstellungsprüfung für Backups und Replikate. Das Programm startet eine VM direkt aus einem Backup oder Replikat in der isolierten Testumgebung und führt Tests mit ihr durch. Während der Überprüfung bleibt das VM-Image in einem schreibgeschützten Zustand. Dieser Mechanismus kann auch zur Fehlersuche oder zum Testen von Patches und Upgrades verwendet werden.
Ursprünglich für physische und virtuelle Umgebungen konzipiert (z. B. Hypervisors, HCI, KVMs usw.), umfasst die Version 12.3 u. a. VMware vSphere, Nutanix AHV, KVMs und Microsoft Hyper-V.
Die Unterstützung für Softwareplattformen wurde erweitert und bietet Backup, optionale Scans zur Erkennung von Malware während des Backups, Wiederherstellung, Replikation/CDP und viele weitere Funktionen für virtuelle Maschinen, physische Server, Workstations sowie Cloud-basierte Workloads und unstrukturierte Daten.
Die Backup-Lösung steht ab Windows Server 2012 und für Clients ab Windows 10 zur Verfügung.
Anzeige
Wenn man seinen VEEAM-Server gehärtet nur in einer Workgroup betreibt, hat man mit dem aktuellen Sicherheitspatch keinen Stress…. Also bei Gelegenheit…..
Danke für den Hinweis. Unser Server ist zwar nicht in der Domäne, patchen werden wir aber trotzdem.
Nicht erschrecken, das neue Update ist jetzt voll mit Werbung für eine Malware-Detection (ThreatHunter) und eine KI (Veeam Intelligence).
> Der Einsatz der Software in dieser Umgebung verstoße aber gegen die Best Practices für Sicherheit und Compliance.
Was in gefühlt 99% der Fälle aber so von Unternehmen und IT Systemhäusern praktiziert wird. Die Erstellung und der Overhead vom Führen von extra Usern ist zu viel Arbeit und es fehlt die Sensibilität oder gar das Verständnis für einen solchen Single-Point-of-Failure. Zudem steht diese Best-Practice im Koonflikt mit anderen, wo eben genau keine lokale User auf Systemen geführt werden sollten. Am Ende des Tages müssen doch Dienstkonten im AD erstellt werden, damit z.B. DBs oder VMs live gesichert werden können, was das ganze kaputte Sicherheits- und Zugriffskonzept von Veeam offenlegt. Der Paswortstore ist einfachst auszulesen.
Besser auf GitOps Workflows setzen. In HyperV Clusterumgebungen funktioniert das sehr gut, ist transparent und zuverlässig und spart nebenher viel Geld (wir reden hier von fünfstelligen Beträgen).
https://blog.jakobs.systems/blog/20240908-gitops-veeam-ersatz/
wie sieht es dann denn mit v13 aus? ab da wird es ja auch linux support geben, ich denke , das müsstest du ja wiederum gut finden, weil so schnell auf einen gehärteten Linux server kommst du nicht drauf. Oder dann trotzdem noch alles crap?
Kannst Du mir sagen, wozu ich zum Sichern von Linux Rechnern, Servern oder VMs proprietäre, unfreie, überteuerte und intransparente Software brauche?
"Zudem steht diese Best-Practice im Koonflikt mit anderen, wo eben genau keine lokale User auf Systemen geführt werden sollten."
Also auf Linux Systemen egal ob Blech oder VMs hast du – der 99% der Systemhäuser und deren Arbeitsweise kennt – keinen Konfikt, weil da keine lokale User geführt werden?
Augenholz wach seisam
Lies Dir die Empfehlungen von Veeam durch, dort werden IMHO (man möge mich bitte falsifizieren) genau lokale Benutzerkonten zur Sicherung empfohlen.
Systemhäuser und Firmen machen dann genau das: Veeam ins AD packen, damit alles so schön einfach und unkompliziert ist. Auch für die Ransomware.
Und lass Linux Hosts da raus. Wie oben bereits gegen gefragt. Was will ein proprietäres und unfreies Stück Software auf einem Linux Host? Wenn Du da Veeam nutzt, bist Du eh sowas von Lost.
(Lokale) Benutzerkonten auf den zu sichernden VM werden von Veeam nur benötigt, wenn man Application Awareness und/oder Guest OS File Indexing aktiv hat. Ist dies bei den zu sicherenden VM nicht aktiviert, wird keines benötigt.
Nicht unbedingt lokale Konten, sondern nur eben nicht Konten aus der Produktivdomäne. Gegen eine kleine gehärtete Domäne für die Virtualisierungsinfrastruktur spricht nichts.
Zudem hat Veeam einen Vault für alle möglichen Kennwörter, hie kann man auch die entsprechenden Accounts aus der Produktivdomäne für das Guest-Processing hinterlegen – oder eben lokale Accounts für z.B. Linux-Systeme (wobei hier best Praxis auch sagt, einen speziellen Account anzulegen und nicht "root" zu verwenden).
<<< Besser auf GitOps Workflows setzen
cool, nur weil ein Anon in einem Online-Gästebuch GitOpts toll findet schmeißen Veeam Kunden alles weg und installieren mit wenigen Mausklicks GitOpts 👍