概要

Veeamは、同社のバックアップ＆レプリケーションソフトウェアに複数の重大な脆弱性に対するセキュリティアップデートを公開しました。中でも特に懸念されるのは、攻撃者がルートレベルの権限でリモートコードを実行できる可能性のある脆弱性です。これにより、影響を受けるシステムを完全に制御される恐れがあります。

脆弱性の詳細

この脆弱性は、Veeam Backup & Replicationのバージョン13.0.1.180およびそれ以前のバージョン13ビルドに特有のものです。広く利用されているバージョン12.xブランチを含む以前のバージョンは、これらの問題の影響を受けないとVeeamは確認しています。

これらの脆弱性は内部テスト中に発見されたもので、バックアップインフラストラクチャに重大なリスクをもたらします。特定の役割（バックアップオペレーターまたはテープオペレーターなど）を持つ認証されたユーザーが、権限を昇格できる可能性があります。

主な脆弱性

今回のセキュリティアップデートで対処された主な脆弱性は以下の通りです。

• CVE-2025-55125 (CVSS: 7.2, 高): バックアップ/テープオペレーターが悪意のある設定ファイルを介してroot権限でRCEを実行可能。
• CVE-2025-59468 (CVSS: 6.7, 中): バックアップ管理者ユーザーが悪意のあるパスワードパラメータを介してpostgresユーザーとしてRCEを実行可能。
• CVE-2025-59469 (CVSS: 7.2, 高): バックアップ/テープオペレーターがroot権限でファイルを書き込み可能。
• CVE-2025-59470 (CVSS: 9.0, 高): バックアップ/テープオペレーターが悪意のあるパラメータを介してpostgresユーザーとしてRCEを実行可能。VeeamはCVSSスコアを9.0としていますが、悪用には高度な特権を持つ役割へのアクセスが必要なため、深刻度を「高」に調整しています。

対処法と推奨事項

Veeamは、バージョン13を実行しているすべてのお客様に対し、潜在的な悪用を防ぐために直ちにアップデートするよう強く求めています。これらの脆弱性は、以下のビルドで解決されています。

修正済みバージョン: Veeam Backup & Replication 13.0.1.1071

管理者は、Veeamの公式ナレッジベース（KB4738）からアップデートをダウンロードし、最小特権アクセスの原則が徹底されているか確認するため、ユーザーロールの割り当てを見直す必要があります。

元記事: https://gbhackers.com/veeam-backup-vulnerability-exposes-systems/