Veeam ได้ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการในซอฟต์แวร์ Backup & Replication รวมไปถึงช่องโหว่ Critical ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
ช่องโหว่ RCE นี้มีหมายเลข CVE-2025-59470 ซึ่งส่งผลกระทบต่อ Veeam Backup & Replication เวอร์ชัน 13.0.1.180 และก่อนหน้าเวอร์ชัน 13 ทั้งหมด
Veeam ระบุในคำแนะนำด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมาว่า ช่องโหว่นี้ทำให้ผู้ที่มีสิทธิ์ Backup หรือ Tape Operator จะสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในสิทธิ์ผู้ใช้งาน postgres ได้ โดยการส่งพารามิเตอร์ interval หรือ order ที่เป็นอันตรายเข้าไป
อย่างไรก็ตาม Veeam ได้ปรับระดับความรุนแรงของช่องโหว่นี้ลงมาอยู่ที่ High เนื่องจากผู้โจมตีจะต้องมีสิทธิ์ในระดับ Backup Operator หรือ Tape Operator เท่านั้นจึงจะสามารถโจมตีระบบได้
Veeam ระบุเพิ่มเติมว่า Backup และ Tape Operator เป็นระบบที่มีสิทธิ์สูง และควรได้รับการปกป้องอย่างเข้มงวด การปฏิบัติตามแนวทางความปลอดภัยที่ Veeam แนะนำจะช่วยลดโอกาสในการถูกโจมตี
Veeam ได้ปล่อยเวอร์ชัน 13.0.1.1071 เมื่อวันที่ 6 มกราคม 2026 เพื่อแก้ไขช่องโหว่ CVE-2025-59470 รวมถึงช่องโหว่อื่น ๆ อีกสองรายการ ได้แก่ CVE-2025-55125 ที่มีความรุนแรงระดับ High และ CVE-2025-59468 ที่มีความรุนแรงระดับ Medium ซึ่งช่องโหว่เหล่านี้อาจช่วยให้ผู้ที่มีสิทธิ์ในระบบ Backup หรือ Tape Operator สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ผ่านการสร้างไฟล์ malicious backup configuration หรือส่ง malicious password parameter
ซอฟต์แวร์ Veeam Backup & Replication (VBR) เป็นโซลูชันสำหรับการสำรอง และกู้คืนข้อมูลในระดับองค์กร ซึ่งช่วยในการคัดลอกข้อมูล และแอปพลิเคชันที่สำคัญ เพื่อให้สามารถกู้คืนระบบได้อย่างรวดเร็วหลังจากเกิดการโจมตีทางไซเบอร์ อุปกรณ์ฮาร์ดแวร์ขัดข้อง หรือเหตุภัยพิบัติต่าง ๆ
ช่องโหว่ของ Veeam ตกเป็นเป้าหมายของกลุ่มแรนซัมแวร์
VBR เป็นซอฟต์แวร์ที่ได้รับความนิยมอย่างมากในกลุ่มองค์กรขนาดกลางถึงขนาดใหญ่ รวมถึงผู้ให้บริการดูแลระบบ แต่ก็มักตกเป็นเป้าหมายของกลุ่มแรนซัมแวร์เช่นกัน เนื่องจากสามารถใช้เป็นจุดเชื่อมต่อในการแพร่กระจายไปยังส่วนอื่น ๆ ของระบบได้
ก่อนหน้านี้กลุ่มแรนซัมแวร์เคยให้ข้อมูลกับ BleepingComputer ว่า พวกเขามักจะเลือกโจมตีเซิร์ฟเวอร์ VBR เพราะมันทำให้การขโมยข้อมูลทำได้ง่ายขึ้น และยังสามารถขัดขวางกระบวนการกู้คืนข้อมูลที่ทำได้ง่าย ด้วยการลบข้อมูลสำรองทิ้งก่อนที่จะเริ่มทำการโจมตีเพื่อเรียกค่าไถ่
กลุ่มแรนซัมแวร์ Cuba และกลุ่มภัยคุกคาม FIN7 (ซึ่งเคยร่วมมือกับกลุ่ม Conti, REvil, Maze, Egregor และ BlackBasta มาก่อน) ก็เคยมีส่วนเกี่ยวข้องกับการโจมตีช่องโหว่ VBR ในอดีตเช่นกัน
เมื่อไม่นานมานี้ ทีม incident responders ของ Sophos X-Ops ได้เปิดเผยว่า แรนซัมแวร์ Frag ได้ใช้ประโยชน์จากช่องโหว่ RCE อีกตัวหนึ่งของ VBR (CVE-2024-40711) ซึ่งถูกเปิดเผยไปก่อนหน้านั้นเพียงสองเดือน นอกจากนี้ ช่องโหว่เดียวกันยังถูกนำไปใช้ในการโจมตีของแรนซัมแวร์ Akira และ Fog เพื่อมุ่งเป้าไปยัง backup servers ของ Veeam ที่ยังไม่ได้รับการแพตช์ ตั้งแต่ช่วงเดือนตุลาคม 2024 เป็นต้นมา
ผลิตภัณฑ์ของ Veeam มีลูกค้าใช้งานมากกว่า 550,000 รายทั่วโลก ซึ่งรวมถึง 74% ของบริษัทในกลุ่ม Global 2,000 และ 82% ของบริษัทในกลุ่ม Fortune 500
ที่มา : bleepingcomputer
You must be logged in to post a comment.