Kompanija Veeam, specijalizovana za backup, oporavak i zaštitu podataka, u srijedu je objavila zakrpe za kritičnu ranjivost u svom Backup & Replication proizvodu, koja omogućava napadačima daljinsko izvršavanje proizvoljnog koda.
U šturim bezbjednosnim smjernicama, Veeam navodi da je bezbjednosni propust, označen kao CVE-2025-23120 (CVSS ocjena 9,9), omogućava „daljinsko izvršavanje koda (RCE) od strane autentifikovanih domen korisnika“. Ranjivost pogađa verziju 12.3.0.310 i sve prethodne verzije 12 ovog softvera.
Kompanija preporučuje nadogradnju na Backup & Replication verziju 12.3.1 (build 12.3.1.1139), koja sadrži zakrpe za ovaj propust.
Prema sajber bezbjednosnoj firmi watchTowr, kojoj se pripisuje zasluga za prijavu ranjivosti, CVE-2025-23120 potiče iz šireg problema unutar Veeamovog mehanizma za deserializaciju, koji kompanija nije adekvatno riješila.
Veeam Backup & Replication, kako navodi watchTowr, slijedi industrijski standard u kontroli klasa koje mogu biti deserializovane, implementirajući dozvoljenu listu (allow-list). Međutim, softver ne sprovodi ispravne procedure deserializacije, jer jedna od dozvoljenih klasa dovodi do unutrašnje deserializacije, koja se oslanja na blok-listu umjesto na sveobuhvatnu zaštitu.
Zakrpe koje je Veeam ranije objavio za slične propuste uključivale su dodavanje stavki na blok-listu. Međutim, zbog ove konfiguracije i obimne baze koda Backup & Replication softvera, moguće je otkriti nove deserializacione „gadžete“ koji mogu biti iskorišćeni za izvršavanje koda, upozorava watchTowr.
Sajber bezbjednosna firma objašnjava da je CVE-2025-23120 povezan sa CVE-2024-40711, kritičnom RCE ranjivošću otkrivenom u septembru 2024, koja je već iskorišćena u napadima ransomware-a manje od mjesec dana kasnije.
Takođe, povezana je sa CVE-2024-42455, ranjivošću visoke ozbiljnosti koja omogućava „autentifikovanom korisniku sa dodijeljenom ulogom u podešavanjima korisnika i uloga na backup serveru da se poveže sa udaljenim servisima i iskoristi nesigurnu deserializaciju, slanjem serijalizovane privremene kolekcije fajlova, čime može obrisati bilo koji fajl na sistemu sa privilegijama servisnog naloga“.
U suštini, kako navodi watchTowr, napadač može identifikovati ovaj tip problema u Backup & Replication softveru pretragom baze koda proizvoda u potrazi za deserializacionim „gadžetima“ koji nisu blokirani, a mogu imati maliciozne posljedice.
Sama sajber bezbjednosna firma identifikovala je dva takva problema (kolektivno praćena pod CVE-2025-23120), uključujući jedan koji može biti iskorišćen modifikacijom PoC (proof-of-concept) koda usmjerenog na CVE-2024-40711.
WatchTowr takođe upozorava da, iako iskorišćavanje nove ranjivosti zahtijeva autentifikaciju napadača, „zahtjev za autentifikaciju je prilično slab“.
Izvor: SecurityWeek