Veeam dicht ernstig lek dat back-upservers blootstelt aan cyberaanvallen
Een ernstig beveiligingslek in Veeam Backup & Replication kan worden misbruikt bij cyberaanvallen, waaronder ransomware. De kwetsbaarheid, geregistreerd als CVE-2025-59470, raakt back-upservers die vaak bedoeld zijn als laatste verdedigingslinie wanneer cruciale data verloren gaat of wordt versleuteld door aanvallers.
Dat maakt het lek extra gevoelig. Wie controle krijgt over de back-upomgeving, kan de impact van een aanval aanzienlijk vergroten.
Back-ups als doelwit
De kwetsbaarheid maakt remote code execution (RCE) mogelijk, wat in theorie betekent dat aanvallers code kunnen uitvoeren op de back-upserver zelf. Dat opent de deur naar het manipuleren of verwijderen van back-ups nog voordat een aanval daadwerkelijk wordt uitgevoerd.
Over de precieze aanvalsmethode blijft Veeam terughoudend. Het bedrijf laat weten dat gebruikers met specifieke rechten code kunnen uitvoeren vanuit het ‘postgres’-account, waaraan de back-ups zijn gekoppeld. Normaal gesproken zou verificatie dit moeten voorkomen, maar die bescherming blijkt in dit geval onvoldoende te werken.
Misbruik niet triviaal, maar wel reëel
Volgens Veeam is het lek niet eenvoudig uit te buiten. Om code onder het postgres-profiel uit te voeren, moeten aanvallers eerst beschikken over een account met de rol Backup Operator of Tape Operator. Dat zijn accounts die, mits organisaties hun beveiliging op orde hebben, doorgaans goed zijn afgeschermd.
Tegelijkertijd onderstreept Veeam daarmee impliciet dat het risico vooral speelt in omgevingen waar zulke accounts al zijn gecompromitteerd, bijvoorbeeld via eerdere aanvallen of slechte toegangscontrole.
Patches beschikbaar
Veeam heeft inmiddels updates uitgebracht om het probleem te verhelpen. Beheerders moeten minimaal versie 13.0.1.1071 installeren, die begin januari verscheen. De kwetsbaarheid zit in alle eerdere versies tot en met Veeam Backup & Replication 13.0.1.180.
Diezelfde update verhelpt nog twee andere beveiligingsproblemen, meldt Veeam op zijn statuspagina. Eén daarvan maakt het mogelijk voor beheerders met specifieke rollen om wijzigingen op systeemniveau door te voeren door gebrekkige verificatie (CVE-2025-59469). Een ander lek laat remote code execution toe via een gemanipuleerd configuratiebestand voor back-ups (CVE-2025-55125).
Of de kwetsbaarheden actief zijn misbruikt, is niet bekend. Volgens Veeam zijn de bugs intern ontdekt tijdens routinematige beveiligingscontroles van de software.
