Uma vulnerabilidade no Veeam Backup & Replication pode permitir a execução de código arbitrário

Uma vulnerabilidade foi descoberta no Veeam Backup & Replication, que pode permitir a execução de código arbitrário. Os detalhes da vulnerabilidade são os seguintes:

Tática: Execução (TA0002):

Técnica: Ferramentas de implantação de software (T1072):

• Uma vulnerabilidade no Veeam Backup & Replication que pode permitir a execução remota de código (RCE) por usuários autenticados do domínio. A vulnerabilidade afeta os sistemas de Backup e Replicação ingressados no domínio. A Veeam menciona explicitamente que ter servidores de backup ingressados no domínio é contra suas melhores práticas de segurança e conformidade. No entanto, reconhece-se que essa configuração ainda pode ser relativamente comum na prática. (CVE-2025-23120)

A exploração bem-sucedida dessa vulnerabilidade requer autenticação no domínio, mas pode resultar na execução de código arbitrário. Dados como backups e imagens podem ser comprometidos.

Recomendamos que as seguintes ações sejam tomadas:

• Aplique as atualizações apropriadas fornecidas pela Veeam ou por outros fornecedores que usam este software a sistemas vulneráveis imediatamente após o teste apropriado. (M1051: Atualizar software)
• Salvaguarda 7.1: Estabelecer e manter um processo de gerenciamento de vulnerabilidades: Estabeleça e mantenha um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
• Salvaguarda 7.2: Estabelecer e manter um processo de correção:Estabeleça e mantenha uma estratégia de correção baseada em risco documentada em um processo de correção, com revisões mensais ou mais frequentes.
• Safeguard 7.4: Execute o gerenciamento automatizado de patches de aplicativos:Execute atualizações de aplicativos em ativos corporativos por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.
• Safeguard 7.5: Execute verificações automatizadas de vulnerabilidades de ativos corporativos internos: Execute verificações automatizadas de vulnerabilidades de ativos corporativos internos trimestralmente ou com mais frequência. Realize verificações autenticadas e não autenticadas, usando uma ferramenta de verificação de vulnerabilidades compatível com SCAP.
• Salvaguarda 7.7: Corrigir vulnerabilidades detectadas:Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.
• Salvaguarda 12.1: Garantir que a infraestrutura de rede esteja atualizada:Certifique-se de que a infraestrutura de rede seja mantida atualizada. Exemplos de implementações incluem a execução da versão estável mais recente do software e/ou o uso de ofertas de rede como serviço (NaaS) com suporte no momento. Revise as versões do software mensalmente, ou com mais frequência, para verificar o suporte ao software.
• Salvaguarda 18.1: Estabelecer e manter um programa de teste de penetração:Estabelecer e manter um programa de teste de penetração apropriado ao tamanho, complexidade e maturidade da empresa. As características do programa de teste de penetração incluem escopo, como rede, aplicativo Web, Interface de Programação de Aplicativos (API), serviços hospedados e controles de instalações físicas; frequência; limitações, como horas aceitáveis e tipos de ataque excluídos; Ponto Of informações de contato; correção, como a forma como as descobertas serão roteadas internamente; e requisitos retrospectivos.
• Salvaguarda 18.2: Executar testes periódicos de penetração externa:Realize testes periódicos de penetração externa com base nos requisitos do programa, pelo menos anualmente. O teste de penetração externa deve incluir reconhecimento corporativo e ambiental para detectar informações exploráveis. O teste de penetração requer habilidades e experiência especializadas e deve ser conduzido por uma parte qualificada. O teste pode ser uma caixa transparente ou uma caixa opaca.
• Salvaguarda 18.3: Corrigir resultados do teste de penetração:Corrija as descobertas do teste de penetração com base na política da empresa para escopo e priorização de correção.

• Configurar o Active Directory para impedir o uso de determinadas técnicas; usar filtragem SID, etc. (mitigaçãoM1015: Configuração do Active Directory)
• Salvaguarda 4.1: Estabelecer e manter um processo de configuração seguro: Estabeleça e mantenha um processo de configuração seguro para ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis, dispositivos não computacionais/IoT e servidores) e software (sistemas operacionais e aplicativos). Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
• Salvaguarda 18.5: Executar testes periódicos de penetração interna: Realize testes periódicos de penetração interna com base nos requisitos do programa, pelo menos anualmente. O teste pode ser uma caixa transparente ou uma caixa opaca.
• Salvaguarda 18.3: Corrigir resultados do teste de penetração: Corrija as descobertas do teste de penetração com base na política da empresa para escopo e priorização de correção.

• Gerencie a criação, modificação, uso e permissões associadas a contas de usuário. (MitigaçãoM1018: Gerenciamento de conta de usuário)
• Salvaguarda 6.1: Estabelecer um processo de concessão de acesso: Estabeleça e siga um processo, preferencialmente automatizado, para conceder acesso a ativos corporativos em caso de nova contratação, concessão de direitos ou alteração de função de um usuário.
• Salvaguarda 6.2: Estabelecer um processo de revogação de acesso: Estabeleça e siga um processo, preferencialmente automatizado, para revogar o acesso aos ativos corporativos, desativando contas imediatamente após o encerramento, revogação de direitos ou alteração de função de um usuário. Desabilitar contas, em vez de excluir contas, pode ser necessário para preservar trilhas de auditoria.
• Salvaguarda 6.8: Definir e manter o controle de acesso baseado em função: Definir e manter o controle de acesso baseado em função, determinando e documentando os direitos de acesso necessários para que cada função dentro da empresa execute com sucesso suas tarefas atribuídas. Execute revisões de controle de acesso de ativos corporativos para validar se todos os privilégios são autorizados, em uma programação recorrente no mínimo anualmente ou com mais frequência.
• Salvaguarda 15.7: Desativar com segurança os provedores de serviços: Descomissionar provedores de serviços com segurança. Exemplos de considerações incluem desativação de contas de usuário e serviço, encerramento de fluxos de dados e descarte seguro de dados corporativos em sistemas de provedores de serviços.

• Arquitetar seções da rede para isolar sistemas, funções ou recursos críticos. Use segmentação física e lógica para impedir o acesso a sistemas e informações potencialmente confidenciais. Use uma DMZ para conter todos os serviços voltados para a Internet que não devem ser expostos da rede interna. Configure instâncias separadas de nuvem privada virtual (VPC) para isolar sistemas de nuvem críticos. (MitigaçãoM1030: Segmentação de rede)
• Salvaguarda 3.12: Processamento e armazenamento de dados de segmento com base na sensibilidade: Segmente o processamento e o armazenamento de dados com base na confidencialidade dos dados. Não processe dados confidenciais em ativos corporativos destinados a dados de menor confidencialidade.
• Salvaguarda 4.4: Implementar e gerenciar um firewall em servidores: Implemente e gerencie um firewall em servidores, quando compatível. Exemplos de implementações incluem um firewall virtual, firewall do sistema operacional ou um agente de firewall de terceiros.
• Salvaguarda 12.2: Estabelecer e manter uma arquitetura de rede segura: Estabeleça e mantenha uma arquitetura de rede segura. Uma arquitetura de rede segura deve abordar a segmentação, o menor privilégio e a disponibilidade, no mínimo.
• Salvaguarda 12.8: Estabelecer e manter recursos de computação dedicados para todo o trabalho administrativo: Estabelecer e manter recursos de computação dedicados, física ou logicamente separados, para todas as tarefas administrativas ou tarefas que exijam acesso administrativo. Os recursos de computação devemLD ser segmentado da rede primária da empresa e não ter permissão para acessar a Internet.
• Salvaguarda 16.8: Sistemas separados de produção e não produção: Mantenha ambientes separados para sistemas de produção e não produção.

• Use duas ou mais evidências para autenticar em um sistema; como nome de usuário e senha, além de um token de um cartão inteligente físico ou gerador de token. (MitigaçãoM1032: Autenticação multifator)
• Salvaguarda 6.4: Exigir MFA para acesso remoto à rede: Exigir MFA para acesso remoto à rede.
• Salvaguarda 6.5: Exigir MFA para acesso administrativo: Exigir MFA para todas as contas de acesso administrativo, quando suportadas, em todos os ativos corporativos, sejam gerenciados no local ou por meio de um provedor terceirizado.