概要
Veeamは、Veeam Backup & Replicationバージョン12における複数の深刻なリモートコード実行(RCE)脆弱性に対処するため、緊急セキュリティパッチをリリースしました。これらの脆弱性が悪用されると、認証されたドメインユーザーがバックアップサーバーおよびインフラホスト上で悪意のあるコードをリモートで実行する可能性があります。攻撃者がパッチをリバースエンジニアリングしてエクスプロイトを開発する可能性が高いため、組織は潜在的な侵害を避けるために遅滞なくアップデートを適用する必要があります。
深刻なリモートコード実行(RCE)脆弱性
最も深刻な脆弱性のうち2つは、ドメイン参加しているVeeam Backup & Replication v12のインストールに影響を与えます。
- CVE-2025-48983: バックアップインフラホスト上のMountサービスを標的としています。認証されたドメインユーザーがこの脆弱性を悪用し、リモートで任意のコードを実行できる可能性があり、CVSS v3.1スコアは9.9と評価されています。この問題は外部研究者CODE WHITEによって報告されました。
- CVE-2025-48984: 認証されたドメインユーザーによってプライマリバックアップサーバー上でRCEを可能にします。こちらもCVSS v3.1スコアは9.9と評価されています。この脆弱性は、Sina Kheirkhah(@SinSinology)とwatchTowrのPiotr Bazydlo(@chudyPB)によって報告されました。
サポートされていない製品バージョンはテストされておらず、アップグレードが適用されるまで脆弱であると見なされるべきです。
高深刻度のローカル権限昇格脆弱性
深刻なRCE脆弱性に加えて、Veeam Agent for Microsoft Windowsには高深刻度のローカル権限昇格脆弱性が存在します。
- CVE-2025-48982: 管理者が攻撃者によって作成された悪意のあるファイルを復元した場合にトリガーされる可能性があり、システム上で権限昇格につながります。CVSS v3.1スコアは7.3です。この脆弱性はTrend Zero Day Initiativeを通じて匿名で報告されました。RCEよりも深刻度は低いものの、権限の悪用を防ぐために迅速なパッチ適用が求められます。
パッチと推奨事項
これら3つの脆弱性はすべて、以下のパッチで対処されています。
- Veeam Backup & Replication 12.3.2.4165
- Veeam Agent for Microsoft Windows 6.3.2.1302
これらのパッチは2025年10月14日にリリースされました。Veeamの脆弱性開示プログラムにより、脆弱性が発見されるとパッチが開発され、緩和策とともに公開されます。しかし、攻撃者はパッチを分析して未パッチシステムに対するエクスプロイトを発見することが多いため、組織は直ちに最新ビルドをインストールし、すべてのバックアップサーバーとインフラホストが更新されたソフトウェアを実行していることを確認する必要があります。
Veeamは、ドメインおよびワークグループ展開の強化をカバーする詳細なセキュリティベストプラクティスガイドを提供しています。管理者は、攻撃対象領域を最小限に抑えるために構成設定を確認し、Veeam Backup & Replication Security Best Practice Guideの推奨事項に従うべきです。ドメイン参加サーバーの定期的な監査と厳格なアクセス制御は、悪用リスクをさらに低減します。
脆弱性の詳細
| CVE ID | 説明 | 深刻度 | CVSSスコア |
|---|---|---|---|
| CVE-2025-48983 | 認証されたユーザーによるバックアップインフラホスト上のMountサービスを介したRCE | 深刻 | 9.9 |
| CVE-2025-48984 | 認証されたドメインユーザーによるバックアップサーバー上のRCE | 深刻 | 9.9 |
| CVE-2025-48982 | 悪意のあるファイル復元時のVeeam Agent for Microsoft Windowsにおけるローカル権限昇格 | 高 | 7.3 |
Veeam Backup & Replicationバージョン12またはVeeam Agent for Windowsを使用している組織は、リリースされたパッチを検証し、適用する必要があります。タイムリーなアップデートの確保は、既知のエクスプロイトやバックアップ環境における不正なコード実行に対する最も効果的な防御策です。