Kritische Sicherheitslücken in Veeam Backup: Software-Update dringend empfohlen
Die Sicherheitsfirma Veeam hat zwei wichtige Sicherheitsmeldungen veröffentlicht, von denen sich eine auf kritische Schwachstellen in ihrer Backup-Software Veeam Backup & Replication konzentriert. Die ersten Meldungen behandeln die Versionen 12.3 bis 12.3.2 und beheben insgesamt fünf Sicherheitslücken, von denen vier als kritisch eingestuft werden. Ein zentrales Problem ist die Möglichkeit für angemeldete Domain-User, Schadcode aus dem Internet direkt auf dem Backup-Server auszuführen. Diese Ausnutzungsmöglichkeit betrifft insbesondere die CVE-2026-21669, CVE-2026-21666 sowie CVE-2026-21671, die in Hochverfügbarkeitsumgebungen existiert. Zusätzlich besteht die Gefahr der Rechteausweitung durch Angreifer, ermöglicht durch CVE-2026-21672, welches sowohl die Versionen 12 als auch 13 betrifft. Eine weitere Schwachstelle (CVE-2026-21670) erlaubt es Nutzern mit niedrigen Rechten, gespeicherte SSH-Zugangsdaten auszulesen. Veeam betont, dass diese Lücken durch interne Tests und Einreichungen über die Bug-Bounty-Plattform HackerOne entdeckt wurden, wobei keine öffentliche Ausnutzung bekannt ist.
Die zweite Sicherheitsmeldung fokussiert sich auf Version 13 von Veeam Backup & Replication und befasst sich mit fünf weiteren Schwachstellen. Neben den bereits in Version 12 genannten Lücken wie CVE-2026-21671 und CVE-2026-21672 treten neue kritische Sicherheitsrisiken auf. Insbesondere CVE-2026-21708 ermöglicht es Nutzern mit der Backup-Viewer-Rolle, Code aus dem Netz als User „postgres“ auszuführen. Zusätzlich wurde der Portbereich des Veeam Agent für Linux an den Standard anderer Veeam-Produkte angepasst und liegt nun zwischen 2500 und 3000.
Zusammenfassend zeigt sich ein komplexes Sicherheitsbild bei Veeam Backup & Replication mit mehreren kritischen Schwachstellen, die Angreifern weitreichende Möglichkeiten bieten könnten. Veeam unterstreicht die Dringlichkeit einer schnellen Aktualisierung aller Systeme auf die neuesten Versionen, um diese Sicherheitsrisiken effektiv zu minimieren und Angriffe abzuwehren.
Schlagwörter: Veeam + HackerOne + Linux
Wie bewerten Sie den Schreibstil des Artikels?