ダークウェブでVeeam RCEエクスプロイトが販売か
サイバーセキュリティコミュニティに新たな警鐘が鳴り響いています。ダークウェブのマーケットプレイスで、「SebastianPereiro」と名乗る販売者が、Veeam Backup & Replicationプラットフォームを標的としたリモートコード実行(RCE)エクスプロイトを販売していると報じられました。
エクスプロイトの詳細と標的
このエクスプロイトは「Bug of June 2025」と称され、Veeam 12.xシリーズ(具体的にはビルド12.1、12.2、12.3、12.3.1)に影響を与えるとされています。特に、Active Directoryと統合されたシステムが標的となり、正当なActive Directoryの認証情報があれば悪用が可能であると説明されています。
販売者によると、この脆弱性に対する公開されたコードや概念実証(PoC)は存在せず、エクスプロイトは私的なアクターの手に留まっているとのことです。価格は7,000ドルで、取引はプライベートメッセージを通じて行われ、技術的な検証や公開議論は許可されていません。
エクスプロイトの技術的な詳細は開示されていませんが、以下の運用要件が示されています:
- 影響を受けるVeeamインスタンスがActive Directoryに接続されていること。
- 任意のドメインアカウントによるアクセスでエクスプロイトがトリガーされること。
即座のサイバーセキュリティリスク
Veeam Backup & Replicationは、多くの企業でミッションクリティカルなデータを保護するために広く導入されている重要なコンポーネントです。このソフトウェアにおけるRCE脆弱性の悪用は、攻撃者が任意のコードを展開し、マルウェアをインストールし、機密性の高いバックアップデータを抽出し、Active Directoryを通じて接続された追加のネットワークリソースを侵害する可能性を秘めています。
悪用の前提条件としてドメインアカウントが必要であることは、脅威をさらに高めます。多くの組織では、IT担当者やサービスアカウントにバックアップソリューションへのアクセス権を日常的に委任しているためです。現時点では、公開された悪用や武器化されたPoCは確認されていませんが、この価格でのマーケットプレイスへの出品は、脅威アクターの間で相当な需要と潜在的な価値があることを示唆しています。
Veeamの状況とコミュニティの対応
2025年9月下旬現在、VeeamはCVE-2025-23121に対処するアドバイザリをリリースしておらず、主流のセキュリティベンダーも実世界での悪用を観測していません。しかし、サイバーセキュリティコミュニティは、ゼロデイ脆弱性が公開される前に不正な市場に出回る過去の事例を鑑み、警戒を強め、情報共有を活発化させています。
推奨される対策
セキュリティ担当者は、公式な確認やパッチ情報が発表されるまで、すべてのVeeam 12.xデプロイメントが潜在的なリスクにさらされていると見なすよう強く求められています。防御側は、以下の対策を講じるべきです:
- 異常な認証試行、特権昇格活動、およびActive DirectoryとVeeamが統合されたシステムでの不正なコード実行を監視する。
- Veeam管理者およびSOCチームは、アクセスログを直ちに確認し、ドメインアカウントの割り当てを検証し、可能な限り厳格なネットワークセグメンテーションを適用する。
- 組織は、Veeamおよびセキュリティパートナーに積極的に連絡を取り、ガイダンスを求め、ランサムウェアやサプライチェーン攻撃に関連する最新のインシデント対応計画を確保する。
ダークウェブでのVeeam Backup & Replication RCEエクスプロイトの販売疑惑は、脅威アクターによる企業バックアップソリューションへの継続的な標的化を示唆しています。公開された技術分析やパッチがない状況では、防御側は慎重な姿勢を取り、アクセス管理に重点を置き、詳細や悪用が表面化した場合には迅速な対応に備える必要があります。