Veeam ออกแพตช์อัปเดตสำหรับช่องโหว่ Remote Code Execution หมายเลข CVE-2025-23120 ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ในซอฟต์แวร์ Backup & Replication ซึ่งส่งผลกระทบต่อการติดตั้งที่มีการเชื่อมต่อกับ domain controller
ช่องโหว่นี้ถูกเปิดเผยเมื่อวันที่ 19 มีนาคม 2025 ส่งผลกระทบต่อ Veeam Backup & Replication เวอร์ชัน 12.3.0.310 และเวอร์ชันก่อนหน้า 12 ทั้งหมด โดย Veeam ได้แก้ไขช่องโหว่นี้ในเวอร์ชัน 12.3.1 (build 12.3.1.1139) ซึ่งได้ปล่อยแพตช์อัปเดตออกมาเมื่อวันที่ 19 มีนาคม 2025 เช่นกัน
ตามรายงานทางเทคนิคของ watchTowr Labs ซึ่งเป็นผู้ค้นพบช่องโหว่ CVE-2025-23120 เป็นช่องโหว่ deserialization vulnerability ที่เกิดขึ้นใน Veeam.Backup.EsxManager.xmlFrameworkDs และ Veeam.Backup.Core.BackupSummary .NET classes
ช่องโหว่ Deserialization เกิดขึ้นเมื่อแอปพลิเคชันประมวลผลข้อมูลที่ถูกตรวจสอบอย่างไม่เหมาะสม ทำให้ผู้โจมตีสามารถแทรก objects หรือ gadgets เพื่อเรียกใช้โค้ดที่เป็นอันตรายได้
เมื่อปีที่แล้ว Veeam ได้แก้ไขช่องโหว่ Deserialization RCE ที่ค้นพบโดยนักวิจัย Florian Hauser โดยการเพิ่ม Blacklist สำหรับ classes หรือ objects ที่ทราบว่ามีความเสี่ยงต่อการถูกโจมตี
อย่างไรก็ตาม watchTowr สามารถค้นหาชุดคำสั่ง (Gadget Chain) อื่นที่ไม่ได้อยู่ใน Blacklist และใช้ช่องโหว่นี้ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
ดูเหมือนว่า Veeam จะไม่ได้แก้ปัญหาอย่างเหมาะสมจากงานวิจัยก่อนหน้าของ Frycos ที่เคยเผยแพร่ไปแล้ว โดยได้มีการแก้ปัญหาช่องโหว่ Deserialization ด้วยการเพิ่มรายการใน Blacklist เท่านั้น
แต่ข่าวดีคือ ช่องโหว่นี้ส่งผลกระทบเฉพาะกับการติดตั้ง Veeam Backup & Replication ที่เชื่อมต่อกับ domain controller เท่านั้น แต่ข่าวร้ายคือ ผู้ใช้งานใน domain controller คนใดก็ตาม สามารถใช้ช่องโหว่นี้ในการโจมตีได้ ทำให้มันกลายเป็นช่องโหว่ที่ถูกใช้ในการโจมตีได้ค่อนข้างง่าย เนื่องจากบริษัทหลายแห่ง เชื่อมต่อเซิร์ฟเวอร์ Veeam เข้ากับ Windows domain โดยไม่ได้ปฏิบัติตามแนวทาง long-standing best practices
กลุ่ม ransomware เคยให้ข้อมูลกับ BleepingComputer ว่า เซิร์ฟเวอร์ Veeam Backup & Replication เป็นเป้าหมายหลักเสมอ เพราะช่วยให้พวกเขาขโมยข้อมูลได้ง่าย และป้องกันการกู้คืนระบบโดยการลบไฟล์สำรองข้อมูล
ช่องโหว่นี้ทำให้การติดตั้ง Veeam กลายเป็นเป้าหมายสำคัญมากขึ้น เนื่องจากผู้โจมตีสามารถโจมตีได้ง่ายขึ้น
แม้ว่าจะยังไม่มีรายงานว่าช่องโหว่นี้ถูกนำไปใช้ในการโจมตีจริง แต่ทาง watchTowr ได้เปิดเผยรายละเอียดทางเทคนิคจำนวนมาก จนไม่น่าแปลกใจหากจะมีการปล่อย Proof-of-Concept ออกมาในเร็ว ๆ นี้
บริษัทต่าง ๆ ที่ใช้ Veeam Backup & Replication ควรทำการอัปเกรดเป็น 12.3.1 โดยเร็วที่สุด
นอกจากนี้ เนื่องจากกลุ่มแรนซัมแวร์ให้ความสนใจเป็นพิเศษกับแอปพลิเคชันนี้ จึงขอแนะนำให้ตรวจสอบ best practices ของ Veeam และตัดการเชื่อมต่อเซิร์ฟเวอร์จาก Windows domain
ที่มา : bleepingcomputer
You must be logged in to post a comment.