Veeam đã phát hành một bản vá bảo mật khẩn cấp nhằm giải quyết nhiều lỗ hổng CVE Veeam nghiêm trọng, cho phép thực thi mã từ xa (RCE) trong Veeam Backup & Replication phiên bản 12. Các lỗ hổng này có thể cho phép người dùng miền đã xác thực chạy mã độc hại trên các máy chủ sao lưu và máy chủ hạ tầng. Với khả năng kẻ tấn công sẽ phân tích ngược bản vá, các tổ chức cần áp dụng bản cập nhật ngay lập tức để tránh các vi phạm tiềm ẩn.

Tổng quan về các lỗ hổng Remote Code Execution (RCE)

Hai trong số các lỗ hổng nghiêm trọng nhất ảnh hưởng đến các cài đặt Veeam Backup & Replication v12 đã gia nhập miền. Các lỗ hổng này mang lại rủi ro đáng kể, có thể dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn.

Người dùng miền được xác thực có thể khai thác các lỗ hổng này, tạo điều kiện thuận lợi cho việc truy cập trái phép và thực thi mã tùy ý trên các hệ thống quan trọng. Điều này đặt ra mối đe dọa trực tiếp đối với tính toàn vẹn và bảo mật của môi trường sao lưu.

CVE-2025-48983: Lỗ hổng dịch vụ Mount

Lỗ hổng này nhắm vào dịch vụ Mount trên các máy chủ hạ tầng sao lưu. Một người dùng miền đã xác thực có thể khai thác CVE-2025-48983 để thực thi mã tùy ý từ xa. Điều này tạo ra một rủi ro cực kỳ nghiêm trọng, được đánh giá với điểm CVSS v3.1 là 9.9.

Việc khai thác thành công có thể cho phép kẻ tấn công kiểm soát hoàn toàn các máy chủ hạ tầng sao lưu, từ đó truy cập vào dữ liệu nhạy cảm hoặc gây gián đoạn hoạt động. Lỗ hổng này đã được các nhà nghiên cứu bên ngoài từ CODE WHITE báo cáo.

Xem thêm chi tiết tại: Veeam Security Advisory KB4771

CVE-2025-48984: Lỗ hổng máy chủ sao lưu chính

Tương tự như lỗ hổng trên, CVE-2025-48984 cho phép thực thi mã từ xa (RCE) trên máy chủ sao lưu chính bởi một người dùng miền đã xác thực. Lỗ hổng này cũng được xếp hạng nghiêm trọng với điểm CVSS v3.1 là 9.9.

Tác động của việc khai thác lỗ hổng CVE Veeam này bao gồm khả năng chiếm quyền điều khiển máy chủ sao lưu chính, một thành phần cốt lõi trong hạ tầng dữ liệu. Lỗ hổng này đã được báo cáo bởi Sina Kheirkhah (@SinSinology) cùng với Piotr Bazydlo (@chudyPB) của watchTowr.

Lỗ hổng leo thang đặc quyền cục bộ (LPE)

Ngoài các lỗ hổng RCE nghiêm trọng, một lỗ hổng leo thang đặc quyền cục bộ (LPE) có mức độ nghiêm trọng cao cũng tồn tại trong Veeam Agent for Microsoft Windows. Mặc dù không trực tiếp là remote code execution, lỗ hổng này vẫn tiềm ẩn nguy cơ bảo mật đáng kể.

CVE-2025-48982: Lỗ hổng Veeam Agent for Microsoft Windows

Được xác định là CVE-2025-48982, lỗ hổng này có thể bị kích hoạt nếu một quản trị viên khôi phục một tệp tin độc hại được tạo ra bởi kẻ tấn công. Điều này sẽ dẫn đến việc leo thang đặc quyền trên hệ thống bị ảnh hưởng.

Với điểm CVSS v3.1 là 7.3, lỗ hổng này được báo cáo ẩn danh thông qua Sáng kiến Zero Day của Trend Micro. Mặc dù ít nghiêm trọng hơn RCE, lỗ hổng CVE Veeam này vẫn đòi hỏi phải vá lỗi kịp thời để ngăn chặn việc lạm dụng đặc quyền.

Cập nhật bản vá bảo mật và khuyến nghị hành động

Tất cả ba lỗ hổng đã được khắc phục trong bản vá Veeam Backup & Replication 12.3.2.4165 và bản cập nhật Veeam Agent for Microsoft Windows 6.3.2.1302. Các phiên bản sản phẩm không được hỗ trợ vẫn chưa được kiểm tra và nên được coi là dễ bị tấn công cho đến khi các bản nâng cấp được áp dụng.

Quy trình vá lỗi và phản ứng với mối đe dọa

Chương trình Tiết lộ Lỗ hổng của Veeam đảm bảo rằng một khi lỗ hổng được phát hiện, một bản vá bảo mật sẽ được phát triển và phát hành cùng với các hướng dẫn giảm thiểu. Tuy nhiên, kẻ tấn công thường phân tích các bản vá để tìm ra các khai thác mới chống lại các hệ thống chưa được vá.

Do đó, các tổ chức phải cài đặt các bản dựng mới nhất ngay lập tức và xác minh rằng tất cả các máy chủ sao lưu và máy chủ hạ tầng đang chạy phần mềm đã cập nhật. Việc cập nhật bản vá kịp thời là biện pháp phòng thủ hiệu quả nhất chống lại các khai thác đã biết và thực thi mã trái phép trong môi trường sao lưu.

Thực hành bảo mật tốt nhất cho Veeam

Veeam cung cấp một hướng dẫn chi tiết về các thực hành bảo mật tốt nhất, bao gồm việc tăng cường bảo mật cho các triển khai miền và nhóm làm việc. Các quản trị viên nên xem xét lại các cài đặt cấu hình để giảm thiểu bề mặt tấn công.

Việc tuân thủ các khuyến nghị trong Hướng dẫn Thực hành Bảo mật Tốt nhất của Veeam Backup & Replication là rất quan trọng. Kiểm toán định kỳ các máy chủ đã gia nhập miền và kiểm soát truy cập nghiêm ngặt sẽ giảm thêm nguy cơ khai thác các lỗ hổng CVE Veeam và các mối đe dọa khác.

Các tổ chức đang sử dụng Veeam Backup & Replication phiên bản 12 hoặc Veeam Agent for Windows cần xác minh và áp dụng các bản vá được phát hành vào ngày 14 tháng 10 năm 2025. Đảm bảo cập nhật bản vá kịp thời là yếu tố then chốt để bảo vệ hạ tầng sao lưu khỏi các cuộc tấn công khai thác và xâm nhập trái phép.