Veeam ได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่หลายรายการของ Veeam Backup & Replication (VBR) ซึ่งรวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical

CVE-2025-23121 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้ใช้งานในโดเมนที่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดได้ตามที่ต้องการบน Backup Server ได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ ซึ่งอาจส่งผลกระทบต่อความสมบูรณ์ของข้อมูลสำรอง

โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Veeam Backup & Replication 12 หรือใหม่กว่า และได้รับการแก้ไขช่องโหว่แล้วในเวอร์ชัน 12.3.2.3617 โดยช่องโหว่ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ watchTowr และ CodeWhite

แม้ว่า CVE-2025-23121 จะส่งผลต่อการติดตั้ง Veeam Backup & Replication (VBR) ที่เชื่อมโยงกับโดเมนเท่านั้น แต่ผู้ใช้งานใด ๆ ในโดเมน ก็สามารถโจมตีโดยใช้ช่องโหว่ CVE-2025-23121 ได้ ทำให้เกิดการโจมตีได้ง่ายในระบบที่มี configurations ในลักษณะดังกล่าว

ทั้งนี้บริษัทหลายแห่งได้รวม Backup Servers ของตนเข้ากับ Windows Domain โดยไม่ได้ปฏิบัติตาม Veeam's Best Practices ซึ่งแนะนำให้ผู้ดูแลระบบใช้ Active Directory Forest แยกต่างหาก และปกป้องบัญชีผู้ดูแลระบบด้วยการยืนยันตัวตนแบบ Two-Factor Authentication

ในเดือนมีนาคม 2025 Veeam ได้แก้ไขช่องโหว่ RCE อีกรายการหนึ่ง (CVE-2025-23120) ในซอฟต์แวร์ Backup & Replication ของ Veeam ซึ่งส่งผลกระทบต่อ Domain-Joined Installations

กลุ่ม Ransomware เคยให้ข้อมูลกับ BleepingComputer เมื่อหลายปีก่อนว่า พวกเขามักจะโจมตี VBR servers เสมอ เนื่องจากทำให้การขโมยข้อมูลของเหยื่อง่ายขึ้น และป้องกันการกู้คืนข้อมูลด้วยการลบข้อมูลสำรอง ก่อนที่จะนำเพย์โหลดของ Ransomware ไปใช้งานบนเครือข่ายของเหยื่อ

ตามที่ทีม Sophos X-Ops incident responders เปิดเผยในเดือนพฤศจิกายน 2024 ช่องโหว่ VBR RCE อีกรายการ (CVE-2024-40711) ที่ถูกเปิดเผยในเดือนกันยายน 2024 กำลังถูกใช้เพื่อติดตั้ง Frag ransomware

ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Veeam backup servers ที่มีช่องโหว่ในการโจมตีด้วย Akira ransomware และ Fog ransomware ซึ่งเริ่มโจมตีตั้งแต่เดือนตุลาคม 2024

ในอดีตกลุ่ม Cuba ransomware และ FIN7 ซึ่งเป็นกลุ่ม Hacker ที่มีเป้าหมายทางด้านการเงิน ที่มักจะร่วมมือกับกลุ่ม ransomware อื่น ๆ เช่น Conti, REvil, Maze, Egregor และ BlackBasta ก็พบว่าใช้จากช่องโหว่ VBR ในการโจมตีเช่นกัน

ผลิตภัณฑ์ของ Veeam ถูกใช้งานโดยลูกค้ามากกว่า 550,000 รายทั่วโลก รวมถึงบริษัทในกลุ่ม Fortune 500 ถึง 82% และบริษัทในกลุ่ม Global 2,000 ถึง 74%

ที่มา : bleepingcomputer

Veeam ออกแพตช์อัปเดตสำหรับช่องโหว่ Remote Code Execution หมายเลข CVE-2025-23120 ความรุนแรงระดับ Critical โดยเป็นช่องโหว่ในซอฟต์แวร์ Backup & Replication ซึ่งส่งผลกระทบต่อการติดตั้งที่มีการเชื่อมต่อกับ domain controller (more…)

Veeam ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ critical ในซอฟต์แวร์ Backup ซึ่งอาจทำให้ผู้โจมตีสามารถรันโค้ดโดยไม่ได้รับอนุญาตบนระบบที่ได้รับผลกระทบด้วยสิทธิ์ระดับ root โดยช่องโหว่มีหมายเลข CVE-2025-23114 และมีคะแนน CVSS ที่ 9.0 จาก 10 (more…)

Veeam ได้ปล่อยอัปเดตแพตช์ด้านความปลอดภัยในวันนี้ (3 ธันวาคม 2024) เพื่อแก้ไขช่องโหว่สองรายการใน Service Provider Console (VSPC) รวมถึงช่องโหว่ Remote code execution (RCE) ระดับ Critical ที่พบระหว่างการทดสอบภายใน

(more…)

Florian Hauser นักวิจัยด้านความปลอดภัยของ Code White พบช่องโหว่ CVE-2024-40711 บน Veeam Backup & Replication (VBR) ซึ่งถูกกลุ่ม Frag Ransomware นำไปใช้ในการโจมตีหลังจากที่ก่อนหน้านี้ได้พบว่ากลุ่ม Akira และ Fog Ransomware ได้โจมตีช่องโหว่ดังกล่าวเช่น (more…)

พบกลุ่ม Ransomware กำลังใช้ช่องโหว่ CVE-2024-40711 ในการโจมตีเป้าหมาย ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ Veeam Backup & Replication (VBR) ที่มีช่องโหว่ได้ (more…)

Veeam ออกแพตช์แก้ไขช่องโหว่ในเดือน กันยายน 2024 ซึ่งเป็นช่องโหว่ความรุนแรงระดับ High และ Critical ทั้งหมด 18 รายการ ใน Veeam Backup & Replication, Service Provider Console และ One (more…)

Veeam แจ้งเตือนลูกค้าให้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถลงชื่อเข้าใช้บัญชีใด ๆ ผ่านทาง Veeam Backup Enterprise Manager (VBEM) (more…)

Veeam แจ้งเตือนช่องโหว่ระดับ critical บน Veeam ONE Monitoring Platform

Veeam ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ 4 รายการบน Veeam ONE IT infrastructure monitoring and analytics platform ซึ่งมี 2 รายการที่เป็นช่องโหว่ระดับ Critical (more…)

Veeam ประกาศแจ้งเตือนช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญในรูปแบบ cleartext ได้ (CVE-2023-27532) รวมไปถึงปัจจุบันกลุ่ม Horizon3 ได้ปล่อยชุดสาธิตการโจมตี (POC) exploit code ออกมาแล้ว

CVE-2023-27532 (คะแนน CVSS 7.5/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ในคอมโพเนนต์ Veeam Backup & Replication (VBR) ทำให้สามารถหลีกเลี่ยงการยืนยันสิทธิเพื่อเข้าไปใน backup infrastructure และขโมยข้อมูลสำคัญในรูปแบบ cleartext และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE) ด้วยสิทธิ์ SYSTEM ซึ่งส่งผลกระทบกับ VBR ทุกเวอร์ชัน
โดย Veeam ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่สำหรับ VBR เวอร์ชัน11 และ เวอร์ชัน 12 โดยแนะนำให้ผู้ใช้งานรีบทำการอัปเดตโดยด่วน รวมไปถึงยังให้คำแนะนำในกรณีที่ยังไม่สามารถทำการอัปเดตได้ทันที แนะนำให้ปิดการเชื่อมต่อจากภายนอกไปยังพอร์ต TCP 9401
Veeam เป็นบริษัทด้านซอฟต์แวร์สำรองข้อมูลระดับองค์กร โดย Veeam Backup & Replication (VBR) มีลูกค้ามากกว่า 450,000 รายทั่วโลก ซึ่งรวมถึง 82% ของบริษัทที่ติดอันดับ Fortune 500 และ 72% ของ Global 2,000

Horizon3 ปล่อย PoC ออกสู่สาธารณะ
ปัจจุบันทาง Horizon3 ได้ปล่อยตัวอย่างวิธีสาธิตการโจมตี proof-of-concept (PoC) ช่องโหว่ดังกล่าวออกมาแล้ว ซึ่งเป็นในรูปแบบ cross-platform ที่ทำให้สามารถเข้าถึงข้อมูลสำคัญในรูปแบบ cleartext บนฐานข้อมูล โดยใช้ API endpoint ในการโจมตีช่องโหว่ ซึ่งทาง Horizon3 ได้ทำเผยแพร่ PoC นี้บน Github ซึ่งสร้างขึ้นด้วย .NET core และสามารถทำงานบน Linux ได้

โดยช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากหาก Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเข้ามาภายในระบบได้แล้ว ก็สามารถที่จะแพร่กระจายไปยังส่วนอื่น ๆ ในระบบของเหยื่อ รวมถึงเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้
นอกจากนี้ทาง Huntress บริษัทวิจัยด้านความปลอดภัย ได้ทำการตรวจสอบเครื่องที่ใช้ VBR จำนวนกว่า 2 ล้าน เครื่องที่เชื่อมต่อกับอินเตอร์เน็ต พบว่ามีเครื่องที่ใช้ VBR มากกว่า 7,500 รายการที่มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-27532
แม้ปัจจุบันยังไม่พบการรายงานโจมตีจากช่องโหว่ดังกล่าว แต่เมื่อมีการเผยแพร่ PoC ออกมาแล้วก็มีความเป็นไปได้ที่ช่องโหว่ดังกล่าวจะถูกใช้ในการโจมตีต่อไป

ที่มา : www.