Veeamの重大な脆弱性、RCE攻撃の危険性
Veeam Softwareは、同社の主力製品であるVeeam Backup & Replication(VBR)に複数のセキュリティ脆弱性が見つかり、これらを修正するためのセキュリティアップデートを公開しました。特に注目すべきは、リモートコード実行(RCE)の危険性がある「CVE-2025-59470」です。
このRCE脆弱性は、Veeam Backup & Replicationのバージョン13.0.1.180およびそれ以前の全てのバージョン13ビルドに影響を及ぼします。Veeamは当初、この脆弱性を「高重要度」と評価していましたが、Backup OperatorまたはTape Operatorといった特権ロールを持つ攻撃者によってのみ悪用されるため、現時点での脅威レベルは限定的と説明しています。Veeamは、これらのロールが高度な特権を持つため、厳重に保護するよう推奨しています。
CVE-2025-59470の詳細
CVE-2025-59470は、Backup OperatorまたはTape Operatorのロールを持つ攻撃者が、悪意のある「interval」または「order」パラメータを送信することで、Postgresユーザーとしてリモートでコードを実行できるというものです。
その他の脆弱性とパッチ
Veeamは、2026年1月6日にバージョン13.0.1.1071をリリースし、CVE-2025-59470のパッチを提供しました。また、このアップデートでは以下の2つの脆弱性も同時に修正されています。
- CVE-2025-55125 (高重要度): 悪意のあるバックアップ設定ファイルを作成することで、悪質なバックアップオペレーターまたはテープオペレーターがリモートコード実行を可能にする脆弱性。
- CVE-2025-59468 (中重要度): 悪意のあるパスワードパラメータを送信することで、悪質なバックアップオペレーターまたはテープオペレーターがリモートコード実行を可能にする脆弱性。
Veeam Backup & Replication (VBR)の狙われる背景
Veeam Backup & Replicationは、企業データのバックアップとリカバリを支援するソフトウェアであり、サイバー攻撃、ハードウェア障害、災害時などに迅速なデータ復旧を可能にします。このソフトウェアは、中規模から大規模な企業やマネージドサービスプロバイダーの間で特に人気があります。
しかし、その普及率とデータ保護における中心的な役割から、ランサムウェアグループの格好の標的となっています。攻撃者はVBRサーバーを標的とすることで、被害者の環境内でのラテラルムーブメント(横方向への移動)を迅速に行い、データの窃取を容易にし、ランサムウェア展開前にバックアップを削除することで復元作業を妨害することが知られています。
過去の攻撃事例
過去には、Cubaランサムウェアグループや、Conti、REvil、Maze、Egregor、BlackBastaなどのランサムウェアグループと協力関係にあったFIN7脅威グループが、VBRの脆弱性を悪用した攻撃に関与していました。
さらに最近では、2024年11月にSophos X-Opsのインシデントレスポンダーが、Fragランサムウェアが2か月前に開示されたVBRのRCE脆弱性(CVE-2024-40711)を悪用したことを明らかにしています。この同じ脆弱性は、2024年10月以降に脆弱なVeeamバックアップサーバーを標的としたAkiraおよびFogランサムウェア攻撃でも使用されていました。
Veeamの広範な利用状況
Veeamの製品は、世界中で55万人以上の顧客に利用されており、これにはGlobal 2,000企業の74%、Fortune 500企業の82%が含まれています。この広範な利用状況が、脆弱性が発見された際の潜在的な影響を大きくしています。