Dutch follows English
Veeam has released a critical security patch for their Backup & Replication software. A serious vulnerability allows attackers with basic domain access to take complete control of backup servers, potentially putting your organisation's backup data at risk.
Veeam has released a critical security patch for their Backup & Replication software. A serious vulnerability allows attackers with basic domain access to take complete control of backup servers, potentially putting your organisation's backup data at risk.
Description
A critical security flaw (CVE-2026-44963) has been discovered in Veeam Backup & Replication software versions 12.3.2.4465 and earlier[1]. This vulnerability allows any domain user with low-level privileges to execute malicious code remotely on Veeam backup servers that are joined to a Windows domain. The issue has been fixed in version 12.3.2.4854[2]. Version 13.x builds are not affected due to architectural changes.
A critical security flaw (CVE-2026-44963) has been discovered in Veeam Backup & Replication software versions 12.3.2.4465 and earlier[1]. This vulnerability allows any domain user with low-level privileges to execute malicious code remotely on Veeam backup servers that are joined to a Windows domain. The issue has been fixed in version 12.3.2.4854[2]. Version 13.x builds are not affected due to architectural changes.
Impact
We estimate the impact of this vulnerabilitie as high. If exploited, attackers could gain complete control over your backup infrastructure. This means they could steal sensitive data stored in backups, delete backup files to prevent recovery, or use compromised backup servers as a launching point to attack other systems in your network. Backup systems are particularly attractive targets for ransomware gangs, who specifically seek to destroy backups before deploying ransomware.
We estimate the impact of this vulnerabilitie as high. If exploited, attackers could gain complete control over your backup infrastructure. This means they could steal sensitive data stored in backups, delete backup files to prevent recovery, or use compromised backup servers as a launching point to attack other systems in your network. Backup systems are particularly attractive targets for ransomware gangs, who specifically seek to destroy backups before deploying ransomware.
Risk
We estimate the risk of this vulnerabilitie as high. While there are currently no reports of active exploitation, Veeam warns that attackers typically develop exploits immediately after patches are released. The vulnerability is relatively easy to exploit—requiring only basic domain user credentials. However, it only affects backup servers that are joined to a Windows domain. Ransomware groups have a documented history of targeting Veeam vulnerabilities, with groups like Akira, Fog, and Frag having weaponized previous Veeam flaws.
We estimate the risk of this vulnerabilitie as high. While there are currently no reports of active exploitation, Veeam warns that attackers typically develop exploits immediately after patches are released. The vulnerability is relatively easy to exploit—requiring only basic domain user credentials. However, it only affects backup servers that are joined to a Windows domain. Ransomware groups have a documented history of targeting Veeam vulnerabilities, with groups like Akira, Fog, and Frag having weaponized previous Veeam flaws.
Mitigation
Update to Veeam Backup & Replication version 12.3.2.4854 or later immediately. If you cannot update right away, consider temporarily removing your Veeam backup server from the domain as a workaround, though this may impact functionality. Note that Veeam's best practices recommend against joining backup servers to domains for this exact reason.
Update to Veeam Backup & Replication version 12.3.2.4854 or later immediately. If you cannot update right away, consider temporarily removing your Veeam backup server from the domain as a workaround, though this may impact functionality. Note that Veeam's best practices recommend against joining backup servers to domains for this exact reason.
What should you do?
Apply the security update to version 12.3.2.4854 as soon as possible. Verify that all your Veeam Backup & Replication servers are running the patched version. Review whether your backup servers are domain-joined and evaluate if this configuration is necessary. Monitor your backup infrastructure for any suspicious activity. If you use version 12.x, plan your upgrade; if you use older unsupported versions, prioritize upgrading to a supported version immediately.If Veeam servers are domain-joined we advise to follow Veeam’s best practices to add the Veeam components to a management workgroup or a management domain that resides in a separate Active Directory Forest and protect the administrative accounts with two-factor authentication mechanics. This way the Veeam Availability Infrastructure does not rely on the environment it is meant to protect[3].
Apply the security update to version 12.3.2.4854 as soon as possible. Verify that all your Veeam Backup & Replication servers are running the patched version. Review whether your backup servers are domain-joined and evaluate if this configuration is necessary. Monitor your backup infrastructure for any suspicious activity. If you use version 12.x, plan your upgrade; if you use older unsupported versions, prioritize upgrading to a supported version immediately.If Veeam servers are domain-joined we advise to follow Veeam’s best practices to add the Veeam components to a management workgroup or a management domain that resides in a separate Active Directory Forest and protect the administrative accounts with two-factor authentication mechanics. This way the Veeam Availability Infrastructure does not rely on the environment it is meant to protect[3].
What will Northwave do?
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can contact us by phone or send us an email if you would like additional information.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
[1] https://www.veeam.com/kb4869
[2] https://www.veeam.com/kb4696
[3] https://bp.veeam.com/security/Design-and-implementation/Hardening/Workgroup_or_Domain.html#best-practice
Vulnerability Management customers will be informed in case vulnerable systems are detected in their infrastructure.We will monitor any developments regarding this vulnerability. If new critical information about this threat arises we will reach out to you. You can contact us by phone or send us an email if you would like additional information.
E-mail: soc@northwave-cybersecurity.com
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
Disclaimer applies, see below.
Sources
[1] https://www.veeam.com/kb4869
[2] https://www.veeam.com/kb4696
[3] https://bp.veeam.com/security/Design-and-implementation/Hardening/Workgroup_or_Domain.html#best-practice
Veeam heeft een kritieke beveiligingspatch uitgebracht voor hun Backup & Replication‑software. Een ernstige kwetsbaarheid stelt aanvallers met basistoegang tot het domein in staat om volledige controle te krijgen over back‑upservers, waardoor de back‑updata van uw organisatie mogelijk gevaar loopt.
Beschrijving
Er is een kritieke beveiligingsfout (CVE-2026-44963) ontdekt in Veeam Backup & Replication softwareversies 12.3.2.4465 en ouder[1]. Deze kwetsbaarheid maakt het mogelijk voor elke domeingebruiker met lage rechten om op afstand kwaadaardige code uit te voeren op Veeam-back‑upservers die zijn gekoppeld aan een Windows-domein. Het probleem is opgelost in versie 12.3.2.4854[2]. Versies 13.x worden niet getroffen vanwege architectonische wijzigingen.
Impact
Wij schatten de impact van deze kwetsbaarheid als hoog in. Indien misbruikt, kunnen aanvallers volledige controle krijgen over uw back‑upinfrastructuur. Dit betekent dat zij gevoelige gegevens uit back‑ups kunnen stelen, back‑upbestanden kunnen verwijderen om herstel te voorkomen, of gecompromitteerde back‑upservers kunnen gebruiken als startpunt om andere systemen in uw netwerk aan te vallen. Back‑upsystemen zijn bijzonder aantrekkelijke doelen voor ransomwaregroepen, die er specifiek op gericht zijn back‑ups te vernietigen voordat zij ransomware uitrollen.
Risico
Wij schatten het risico van deze kwetsbaarheid als hoog in. Hoewel er momenteel geen meldingen zijn van actieve misbruikgevallen, waarschuwt Veeam dat aanvallers doorgaans direct exploits ontwikkelen nadat patches zijn uitgebracht. De kwetsbaarheid is relatief eenvoudig te misbruiken en vereist slechts basisdomeinreferenties. Deze treft echter alleen back‑upservers die aan een Windows-domein zijn gekoppeld. Ransomwaregroepen hebben een gedocumenteerde geschiedenis van het misbruiken van Veeam-kwetsbaarheden; groepen zoals Akira, Fog en Frag hebben eerdere Veeam‑lekken al ingezet.
Mitigatie
Werk zo snel mogelijk bij naar Veeam Backup & Replication versie 12.3.2.4854 of hoger. Als een directe update niet mogelijk is, overweeg dan tijdelijk uw Veeam-back‑upserver los te koppelen van het domein als workaround, hoewel dit de functionaliteit kan beïnvloeden. Houd er rekening mee dat Veeam-best practices het koppelen van back‑upservers aan domeinen afraden, juist om dit soort risico’s te vermijden.
Wat moet u doen?
Pas de beveiligingsupdate naar versie 12.3.2.4854 zo snel mogelijk toe. Controleer of alle Veeam Backup & Replication-servers de gepatchte versie draaien. Bekijk of uw back‑upservers aan een domein zijn gekoppeld en beoordeel of deze configuratie noodzakelijk is. Monitor uw back‑upinfrastructuur op verdachte activiteiten. Als u versie 12.x gebruikt, plan dan een upgrade; gebruikt u oudere, niet‑ondersteunde versies, geef dan prioriteit aan het onmiddellijk upgraden naar een ondersteunde versie.Als Veeam-servers aan een domein zijn gekoppeld, adviseren wij de best practices van Veeam te volgen en de Veeam‑componenten onder te brengen in een beheersworkgroup of een beheerdomein binnen een afzonderlijk Active Directory‑forest, en beheeraccounts te beveiligen met tweefactorauthenticatie. Op deze manier is de Veeam Availability‑infrastructuur niet afhankelijk van de omgeving die zij moet beschermen[3].
Wat zal Northwave doen?
Klanten van Vulnerability Management worden geïnformeerd wanneer kwetsbare systemen in hun infrastructuur worden gedetecteerd.
Wij blijven de ontwikkelingen rond deze kwetsbaarheid monitoren. Mocht er nieuwe kritieke informatie over deze dreiging ontstaan, dan nemen wij contact met u op. U kunt ons telefonisch of per e‑mail benaderen als u aanvullende informatie wenst.
E-mail: soc@northwave-cybersecurity.com
Heeft u op dit moment een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer van toepassing, zie hieronder.
Bronnen
[1] https://www.veeam.com/kb4869
[2] https://www.veeam.com/kb4696
[3] https://bp.veeam.com/security/Design-and-implementation/Hardening/Workgroup_or_Domain.html#best-practice
Beschrijving
Er is een kritieke beveiligingsfout (CVE-2026-44963) ontdekt in Veeam Backup & Replication softwareversies 12.3.2.4465 en ouder[1]. Deze kwetsbaarheid maakt het mogelijk voor elke domeingebruiker met lage rechten om op afstand kwaadaardige code uit te voeren op Veeam-back‑upservers die zijn gekoppeld aan een Windows-domein. Het probleem is opgelost in versie 12.3.2.4854[2]. Versies 13.x worden niet getroffen vanwege architectonische wijzigingen.
Impact
Wij schatten de impact van deze kwetsbaarheid als hoog in. Indien misbruikt, kunnen aanvallers volledige controle krijgen over uw back‑upinfrastructuur. Dit betekent dat zij gevoelige gegevens uit back‑ups kunnen stelen, back‑upbestanden kunnen verwijderen om herstel te voorkomen, of gecompromitteerde back‑upservers kunnen gebruiken als startpunt om andere systemen in uw netwerk aan te vallen. Back‑upsystemen zijn bijzonder aantrekkelijke doelen voor ransomwaregroepen, die er specifiek op gericht zijn back‑ups te vernietigen voordat zij ransomware uitrollen.
Risico
Wij schatten het risico van deze kwetsbaarheid als hoog in. Hoewel er momenteel geen meldingen zijn van actieve misbruikgevallen, waarschuwt Veeam dat aanvallers doorgaans direct exploits ontwikkelen nadat patches zijn uitgebracht. De kwetsbaarheid is relatief eenvoudig te misbruiken en vereist slechts basisdomeinreferenties. Deze treft echter alleen back‑upservers die aan een Windows-domein zijn gekoppeld. Ransomwaregroepen hebben een gedocumenteerde geschiedenis van het misbruiken van Veeam-kwetsbaarheden; groepen zoals Akira, Fog en Frag hebben eerdere Veeam‑lekken al ingezet.
Mitigatie
Werk zo snel mogelijk bij naar Veeam Backup & Replication versie 12.3.2.4854 of hoger. Als een directe update niet mogelijk is, overweeg dan tijdelijk uw Veeam-back‑upserver los te koppelen van het domein als workaround, hoewel dit de functionaliteit kan beïnvloeden. Houd er rekening mee dat Veeam-best practices het koppelen van back‑upservers aan domeinen afraden, juist om dit soort risico’s te vermijden.
Wat moet u doen?
Pas de beveiligingsupdate naar versie 12.3.2.4854 zo snel mogelijk toe. Controleer of alle Veeam Backup & Replication-servers de gepatchte versie draaien. Bekijk of uw back‑upservers aan een domein zijn gekoppeld en beoordeel of deze configuratie noodzakelijk is. Monitor uw back‑upinfrastructuur op verdachte activiteiten. Als u versie 12.x gebruikt, plan dan een upgrade; gebruikt u oudere, niet‑ondersteunde versies, geef dan prioriteit aan het onmiddellijk upgraden naar een ondersteunde versie.Als Veeam-servers aan een domein zijn gekoppeld, adviseren wij de best practices van Veeam te volgen en de Veeam‑componenten onder te brengen in een beheersworkgroup of een beheerdomein binnen een afzonderlijk Active Directory‑forest, en beheeraccounts te beveiligen met tweefactorauthenticatie. Op deze manier is de Veeam Availability‑infrastructuur niet afhankelijk van de omgeving die zij moet beschermen[3].
Wat zal Northwave doen?
Klanten van Vulnerability Management worden geïnformeerd wanneer kwetsbare systemen in hun infrastructuur worden gedetecteerd.
Wij blijven de ontwikkelingen rond deze kwetsbaarheid monitoren. Mocht er nieuwe kritieke informatie over deze dreiging ontstaan, dan nemen wij contact met u op. U kunt ons telefonisch of per e‑mail benaderen als u aanvullende informatie wenst.
E-mail: soc@northwave-cybersecurity.com
Heeft u op dit moment een incident? Bel ons Incident Response Team: 00800 1744 0000
Disclaimer van toepassing, zie hieronder.
Bronnen
[1] https://www.veeam.com/kb4869
[2] https://www.veeam.com/kb4696
[3] https://bp.veeam.com/security/Design-and-implementation/Hardening/Workgroup_or_Domain.html#best-practice
Disclaimer
Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.