Компания Veeam выпустила обновления безопасности, закрывающие критическую уязвимость в продукте Veeam Backup & Replication. Брешь, получившая идентификатор CVE-2026-44963, позволяет аутентифицированному пользователю домена удалённо выполнить произвольный код на сервере резервного копирования. Сведения об уязвимости были опубликованы 9 июня 2026 года, одновременно с выходом исправленной сборки.
Уязвимость затрагивает Veeam Backup & Replication сборки 12.3.2.4465 и все более ранние выпуски ветки 12. При этом сборки версии 13.x не подвержены проблеме — это связано с изменениями в архитектуре продукта, появившимися начиная с тринадцатой версии. Veeam также отмечает, что версии продукта, снятые с поддержки, не тестировались, однако с высокой вероятностью уязвимы и должны рассматриваться как подверженные риску.
Детали уязвимости
CVE-2026-44963 относится к классу уязвимостей удалённого выполнения кода (RCE). По шкале CVSS v4.0 ей присвоен балл 9.4 из 10.0, что соответствует критическому уровню опасности. Полный вектор оценки выглядит так:
Из вектора следует, что атака проводится по сети (AV:N), не требует особых условий и взаимодействия с пользователем, а для эксплуатации достаточно низких привилегий (PR:L). Успешная атака приводит к полному нарушению конфиденциальности, целостности и доступности как самой системы, так и связанных с ней компонентов. Уязвимость была обнаружена и ответственно раскрыта исследователем Sina Kheirkhah (@SinSinology) из компании WatchTowr.
Кто находится под угрозой
Ключевая особенность CVE-2026-44963 состоит в том, что она затрагивает только те серверы Veeam Backup & Replication, которые включены в домен Active Directory. Для эксплуатации злоумышленнику достаточно обычной доменной учётной записи с низкими привилегиями — права администратора не требуются. Это существенно расширяет круг потенциальных атакующих: получить рядовую учётную запись в домене заметно проще, чем административную.
Veeam уже давно рекомендует не вводить серверы резервного копирования в домен, а размещать их в изолированной рабочей группе. Этому посвящён отдельный раздел руководства по безопасности — Veeam Backup & Replication Security Best Practice Guide. Тем не менее на практике многие организации игнорируют эту рекомендацию и подключают серверы Veeam к домену Windows, тем самым оставляя себя открытыми для подобных атак.
Позиция вендора и риск обратной разработки патча
Veeam придерживается политики прозрачного раскрытия уязвимостей: в компании действует программа Vulnerability Disclosure Program (VDP), а код продуктов проходит регулярный внутренний аудит. После обнаружения уязвимости команда оперативно выпускает исправление, а затем публично раскрывает информацию о проблеме и мерах по её устранению. Такой подход позволяет всем затронутым клиентам быстро принять необходимые меры.
Вместе с тем вендор предупреждает об оборотной стороне публикации: как только информация об уязвимости и связанном с ней патче становится общедоступной, злоумышленники, как правило, начинают анализировать обновление методом реверс инжиниринга, чтобы атаковать необновлённые системы. По данным на момент раскрытия, случаев активной эксплуатации CVE-2026-44963 зафиксировано не было, однако специалисты предупреждают, что разработка эксплойтов нередко начинается сразу после выхода исправлений. Именно поэтому критически важно использовать актуальные версии ПО и устанавливать обновления без промедления.
Veeam как излюбленная цель программ-вымогателей
Серверы резервного копирования представляют особый интерес для атакующих. Операторы программ-вымогателей неоднократно признавали, что целенаправленно атакуют серверы Veeam: их компрометация открывает доступ к конфиденциальным данным, позволяет перемещаться внутри взломанной сети и блокировать восстановление, удаляя резервные копии жертвы перед шифрованием.
В последние годы Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло четыре уязвимости Veeam Backup & Replication в каталог активно эксплуатируемых брешей — все они использовались группировками вымогателей. Так, в ноябре 2024 года специалисты Sophos X-Ops сообщили, что несколько группировок, включая Akira, Fog и Frag, взяли на вооружение другую критическую RCE-уязвимость VBR — CVE-2024-40711. С атаками на уязвимости Veeam также связывали финансово мотивированную группу FIN7, сотрудничавшую с операторами Maze, Egregor, Conti, REvil и BlackBasta, и вымогателей Cuba, атаковавших критически важные организации в США.
Масштаб потенциальных последствий усиливается широтой распространения продукта: решениями Veeam пользуются более 550 000 клиентов по всему миру, среди которых 82% компаний из списка Fortune 500 и 74% организаций из Global 2000. Стоит также напомнить, что в марте 2026 года Veeam уже устраняла несколько критических уязвимостей в Backup & Replication, способных приводить к удалённому выполнению кода.
Что делать
Уязвимость устранена начиная со сборки Veeam Backup & Replication 12.3.2.4854. Всем пользователям ветки 12 рекомендуется как можно скорее обновиться до этой или более новой версии. Дополнительно стоит привести конфигурацию в соответствие с рекомендациями вендора: вывести сервер резервного копирования из домена Active Directory в изолированную рабочую группу, использовать отдельные локальные учётные записи, включить многофакторную аутентификацию и ограничить сетевой доступ к серверу. Подробности об исправлении доступны в официальном бюллетене Veeam KB4869.
RSS
