آسیب‌پذیری بحرانی CVE-2025-23120 در Veeam Backup & Replication و راهکارهای فوری مقابله

آسیب‌پذیری بحرانی CVE-2025-23120 در نرم‌افزار Veeam Backup & Replication شناسایی شده است که به کاربران احراز هویت‌شده در دامنه اجازه می‌دهد تا از راه دور کد دلخواه را بر روی سرور پشتیبان اجرا کنند. این آسیب‌پذیری در نسخه‌های ۱۲.۳.۰.۳۱۰ و تمامی نسخه‌های قبلی نسخه ۱۲ وجود دارد و در نسخه ۱۲.۳.۱ (ساخت ۱۲.۳.۱.۱۱۳۹) برطرف شده است.

جزئیات فنی آسیب‌پذیری

این آسیب‌پذیری ناشی از استفاده از مکانیزم‌های امنیتی مبتنی بر لیست سیاه در فرآیند deserialization داده‌ها در کانال .NET Remoting است. در حالی که Veeam تلاش کرده است تا کلاس‌های مخرب را با افزودن آن‌ها به لیست سیاه مسدود کند، اما این رویکرد ناکارآمد بوده و مهاجمان می‌توانند از کلاس‌های مجاز (whitelisted) برای اجرای کد مخرب استفاده کنند.

شرایط بهره‌برداری

• سرور Veeam باید به دامنه Active Directory متصل باشد.
• مهاجم باید یک کاربر احراز هویت‌شده در دامنه باشد؛ سطح دسترسی بالا الزامی نیست.
• هیچ تعامل کاربری (User Interaction) مورد نیاز نیست.

با توجه به این شرایط، حتی کاربران با دسترسی محدود در دامنه می‌توانند از این آسیب‌پذیری سوءاستفاده کنند.

راهکارهای پیشنهادی

1. به‌روزرسانی فوری: سرورهای Veeam را به نسخه ۱۲.۳.۱ (ساخت ۱۲.۳.۱.۱۱۳۹) ارتقاء دهید. در صورتی که امکان ارتقاء فوری وجود ندارد، از hotfix موجود برای نسخه ۱۲.۳.۰.۳۱۰ استفاده کنید.
2. جدا کردن سرور از دامنه: در صورت امکان، سرور Veeam را از دامنه Active Directory جدا کرده و از آن در حالت Workgroup استفاده کنید تا سطح حمله کاهش یابد.
3. بررسی دسترسی کاربران: دسترسی کاربران دامنه به سرور Veeam را محدود کرده و فقط به افراد مورد نیاز اجازه دسترسی دهید.
4. نظارت و بررسی لاگ‌ها: فعالیت‌های مشکوک را از طریق بررسی لاگ‌ها و استفاده از ابزارهای نظارتی شناسایی کنید.
5. پیکربندی مناسب فایروال: دسترسی به سرور Veeam را از طریق فایروال محدود کرده و تنها به آدرس‌های IP مورد اعتماد اجازه دسترسی دهید.

منابع بیشتر

• مشاوره امنیتی Veeam (KB4724)

• تحلیل فنی WatchTowr Labs

• گزارش Rapid7