RCE vulnerability in Veeam
Dear Reader,
On 19 March 2025, Veeam issued a patch for a critical vulnerability in Veeam Backup & Replication tracked under CVE-2025-23120 with a CVSS score of 9.9[1]. The vulnerability allows for remote code execution (RCE) by authenticated domain users. We urge all recipients to install updates to vulnerable systems.
Description
On 5 February 2025, watchTowr Labs discovered a vulnerability in Veeam Backup & Replication that allows any authenticated domain user to perform RCE on a domain-joined Veeam server[2]. The following specific Veeam products are affected:
- Domain-joined Veeam servers running Veeam Backup & Replication 12.3.0.310 and all earlier version 12 builds [1].
Impact
We estimate the impact of this vulnerability as HIGH as this vulnerability allows any authenticated domain user to perform RCE.
Risk
We estimate the risk of this vulnerability as HIGH, based on the high popularity of Veeam solutions and the release of technical details. At the time of writing, no public proof-of-concept exploit is available. Technical details have however been released by watchTowr Labs, which may facilitate an exploit[2] . Furthermore, while having a domain-joined backup server is against security best-practices, we regularly observe this in practice.
Mitigation
Veeam has published updates to remediate the vulnerability. We recommend updating to the latest version as soon as possible.
What should you do?
In order to resolve the critical vulnerability in Veeam Backup & Replication, we highly recommend the following action:
- Update your Veeam Backup & Replication to v12.3.1 (build 12.3.1.1139).
What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can call us by phone or send us an email if you would like additional information.
Phone number: +31 (0)30-303 1244 (during business hours)
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 000
Disclaimer applies, see below.
Sources
1]: https://www.veeam.com/kb4724
[2]: https://labs.watchtowr.com/by-executive-order-we-are-banning-blacklists-domain-level-rce-in-veeam-backup-replication-cve-2025-23120/
Beste lezer,
Op 19 maart 2025 heeft Veeam een patch uitgebracht voor een kritische kwetsbaarheid in Veeam Backup & Replication, bekend onder CVE-2025-23120 met een CVSS score van 9.9[1]. Met deze kwetsbaarheid kan een geauthenticeerde domein-gebruiker code op afstand uitvoeren. Om de kwetsbaarheid te mitigeren, adviseren we om de patch van Veeam zo snel mogelijk te installeren.
Beschrijving
Op 5 februari 2025 heeft watchTowr labs een kwetsbaarheid ontdekt in Veeam Backup & Replication die het toestaat voor een geauthenticeerde domein-gebruiker om remote code execution uit te voeren op een domain-joined Veeam server[2]. De kwetsbaarheden zijn van toepassing op de volgende producten:
-
Domain-joined Veeam servers uitgevoerd met Veeam Backup & Replication 12.3.0.310 en alle eerdere versie 12 builds [1].
Impact
Wij schatten de impact van exploitatie van deze kwetsbaarheden in als HOOG vanwege de mogelijkheid tot het uitvoeren van code op afstand voor elke geauthenticeerde domeingebruiker.
Risico
Wij schatten het risico van deze kwetsbaarheden in als HOOG, vanwege de hoge populariteit van Veeam en de beschikbaarheid van technische details. Op het moment van schrijven is er geen publieke proof-of-concept exploit beschikbaar. Wel heeft watchTowr Labs technische details beschreven, welke mogelijk een exploit faciliteren [2]. Vanuit security best-practices is het niet aanbevolen om een Veeam server op te nemen in het domein, echter zien wij dit nog wel regelmatig.
Mitigatie
Veeam heeft updates uitgebracht om de kwetsbaarheid te verhelpen. We raden aan om uw Veeam-oplossing zo snel mogelijk te updaten naar de nieuwste versie.
Wat moet u doen?
Om de kwetsbaarheid op te lossen, raden we de volgende actie ten zeerste aan:
-
Update uw Veeam Backup & Replication oplossing naar v12.3.1 (build 12.3.1.1139).
Wat doet Northwave?
Northwave houdt de ontwikkelingen omtrent deze kwetsbaarheid in de gaten. Als er belangrijke nieuwe informatie omtrent deze dreiging bekend wordt, stellen wij u hiervan op de hoogte. Als u behoefte heeft aan extra informatie zijn we zowel telefonisch als via email bereikbaar.
Telefoonnummer: +31 (0)30-303 1244 (tijdens kantooruren)
E-mail: soc@northwave-cybersecurity.com
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer is van toepassing, zie onder.
Bronnen