-
09/04/2020
-
116
-
1.182 bài viết
Veeam Backup & Replication đối mặt nguy cơ chiếm quyền vì hai lỗ hổng RCE
Veeam, nền tảng sao lưu doanh nghiệp được ví như “phao cứu sinh dữ liệu”, vừa phát hành bản vá khẩn cấp cho ba lỗ hổng bảo mật nghiêm trọng, trong đó có hai lỗ hổng thực thi mã từ xa (RCE) đạt điểm CVSS gần tuyệt đối 9,9. Những lỗ hổng này ảnh hưởng trực tiếp đến hệ thống Veeam Backup & Replication, công cụ được hàng nghìn tổ chức trên toàn cầu tin dùng để bảo vệ dữ liệu trọng yếu trong hạ tầng công nghệ thông tin. Nếu bị khai thác, kẻ tấn công có thể giành quyền kiểm soát máy chủ sao lưu và mở rộng xâm nhập sâu hơn vào mạng nội bộ của doanh nghiệp.
Hai lỗ hổng nghiêm trọng nhất có mã định danh CVE-2025-48983 và CVE-2025-48984, đều liên quan đến các thành phần cốt lõi của phần mềm. Theo khuyến cáo từ Veeam, CVE-2025-48983 bắt nguồn từ dịch vụ Mount trong Veeam Backup & Replication, cho phép một tài khoản người dùng trong cùng môi trường mạng đã được xác thực có thể thực thi mã từ xa trên máy chủ sao lưu. Điều đáng chú ý là kẻ tấn công không cần quyền quản trị hệ thống, mà chỉ cần một tài khoản có quyền truy cập hợp lệ, nên nguy cơ đến từ việc tài khoản bị xâm nhập hoặc bị đánh cắp là rất lớn.
Trong khi đó, CVE-2025-48984 ảnh hưởng đến thành phần Backup Server, cho phép kẻ tấn công đã có quyền truy cập hợp lệ trong mạng nội bộ doanh nghiệp thực thi mã tùy ý từ xa trên máy chủ sao lưu. Nói cách khác, lỗ hổng này đòi hỏi kẻ tấn công phải có khả năng kết nối đến máy chủ Veeam trong cùng hệ thống mạng hoặc đã chiếm được một tài khoản người dùng trong miền.
Cả hai lỗ hổng đều tồn tại trên Veeam Backup & Replication phiên bản 12.3.2.3617 và tất cả các bản 12.x trước đó, chủ yếu ảnh hưởng đến các máy chủ được triển khai trong môi trường domain của doanh nghiệp. Veeam cho biết các kiến trúc mới hơn, bao gồm Veeam Software Appliance và phiên bản Backup & Replication v13 sắp ra mắt, đã được thiết kế lại để loại bỏ hoàn toàn rủi ro này.
Bản vá 12.3.2.4165 hiện đã được phát hành để khắc phục hai lỗ hổng RCE nói trên. Veeam khuyến cáo người dùng triển khai bản cập nhật ngay lập tức nhằm giảm thiểu nguy cơ bị khai thác trong môi trường thực tế. Do hệ thống sao lưu thường chứa toàn bộ dữ liệu, cấu hình và bản phục hồi của doanh nghiệp, việc bị chiếm quyền trên máy chủ backup có thể dẫn đến hậu quả dây chuyền nghiêm trọng, từ xóa hoặc mã hóa dữ liệu cho đến cài đặt mã độc tống tiền.
Bên cạnh đó, Veeam cũng xử lý một lỗ hổng leo thang đặc quyền khác, mã CVE-2025-48982, được đánh giá ở mức độ nghiêm trọng với điểm CVSS 7.3. Lỗ hổng này ảnh hưởng đến Veeam Agent for Microsoft Windows. Nó có thể bị khai thác trong trường hợp quản trị viên vô tình khôi phục một tệp tin độc hại, khiến mã độc được thực thi với quyền hệ thống cao nhất. Khi đó, kẻ tấn công có thể chiếm toàn quyền kiểm soát thiết bị. Sự cố được ghi nhận trên các phiên bản Veeam Agent 6.3.2.1205 và tất cả các bản 6.x trước đó. Veeam đã phát hành bản vá 6.3.2.1302 để khắc phục hoàn toàn lỗ hổng này.
Việc Veeam công bố và khắc phục các lỗ hổng này cho thấy rủi ro ngày càng lớn đối với hạ tầng sao lưu, vốn là mục tiêu hàng đầu trong nhiều chiến dịch tấn công mạng hiện nay. Trong các vụ tấn công ransomware gần đây, việc chiếm quyền kiểm soát hệ thống backup đồng nghĩa với việc triệt tiêu khả năng khôi phục dữ liệu của nạn nhân. Với hai lỗ hổng RCE đạt điểm 9.9, bất kỳ doanh nghiệp nào chậm triển khai bản vá đều đang tự đặt mình vào vùng rủi ro cao nhất. Veeam nhấn mạnh rằng việc áp dụng bản cập nhật không chỉ mang tính phòng ngừa, mà còn là biện pháp bắt buộc để bảo vệ tính toàn vẹn dữ liệu và duy trì khả năng phục hồi của toàn bộ hệ thống an ninh nội bộ.
Hai lỗ hổng nghiêm trọng nhất có mã định danh CVE-2025-48983 và CVE-2025-48984, đều liên quan đến các thành phần cốt lõi của phần mềm. Theo khuyến cáo từ Veeam, CVE-2025-48983 bắt nguồn từ dịch vụ Mount trong Veeam Backup & Replication, cho phép một tài khoản người dùng trong cùng môi trường mạng đã được xác thực có thể thực thi mã từ xa trên máy chủ sao lưu. Điều đáng chú ý là kẻ tấn công không cần quyền quản trị hệ thống, mà chỉ cần một tài khoản có quyền truy cập hợp lệ, nên nguy cơ đến từ việc tài khoản bị xâm nhập hoặc bị đánh cắp là rất lớn.
Trong khi đó, CVE-2025-48984 ảnh hưởng đến thành phần Backup Server, cho phép kẻ tấn công đã có quyền truy cập hợp lệ trong mạng nội bộ doanh nghiệp thực thi mã tùy ý từ xa trên máy chủ sao lưu. Nói cách khác, lỗ hổng này đòi hỏi kẻ tấn công phải có khả năng kết nối đến máy chủ Veeam trong cùng hệ thống mạng hoặc đã chiếm được một tài khoản người dùng trong miền.
Cả hai lỗ hổng đều tồn tại trên Veeam Backup & Replication phiên bản 12.3.2.3617 và tất cả các bản 12.x trước đó, chủ yếu ảnh hưởng đến các máy chủ được triển khai trong môi trường domain của doanh nghiệp. Veeam cho biết các kiến trúc mới hơn, bao gồm Veeam Software Appliance và phiên bản Backup & Replication v13 sắp ra mắt, đã được thiết kế lại để loại bỏ hoàn toàn rủi ro này.
Bản vá 12.3.2.4165 hiện đã được phát hành để khắc phục hai lỗ hổng RCE nói trên. Veeam khuyến cáo người dùng triển khai bản cập nhật ngay lập tức nhằm giảm thiểu nguy cơ bị khai thác trong môi trường thực tế. Do hệ thống sao lưu thường chứa toàn bộ dữ liệu, cấu hình và bản phục hồi của doanh nghiệp, việc bị chiếm quyền trên máy chủ backup có thể dẫn đến hậu quả dây chuyền nghiêm trọng, từ xóa hoặc mã hóa dữ liệu cho đến cài đặt mã độc tống tiền.
Bên cạnh đó, Veeam cũng xử lý một lỗ hổng leo thang đặc quyền khác, mã CVE-2025-48982, được đánh giá ở mức độ nghiêm trọng với điểm CVSS 7.3. Lỗ hổng này ảnh hưởng đến Veeam Agent for Microsoft Windows. Nó có thể bị khai thác trong trường hợp quản trị viên vô tình khôi phục một tệp tin độc hại, khiến mã độc được thực thi với quyền hệ thống cao nhất. Khi đó, kẻ tấn công có thể chiếm toàn quyền kiểm soát thiết bị. Sự cố được ghi nhận trên các phiên bản Veeam Agent 6.3.2.1205 và tất cả các bản 6.x trước đó. Veeam đã phát hành bản vá 6.3.2.1302 để khắc phục hoàn toàn lỗ hổng này.
Việc Veeam công bố và khắc phục các lỗ hổng này cho thấy rủi ro ngày càng lớn đối với hạ tầng sao lưu, vốn là mục tiêu hàng đầu trong nhiều chiến dịch tấn công mạng hiện nay. Trong các vụ tấn công ransomware gần đây, việc chiếm quyền kiểm soát hệ thống backup đồng nghĩa với việc triệt tiêu khả năng khôi phục dữ liệu của nạn nhân. Với hai lỗ hổng RCE đạt điểm 9.9, bất kỳ doanh nghiệp nào chậm triển khai bản vá đều đang tự đặt mình vào vùng rủi ro cao nhất. Veeam nhấn mạnh rằng việc áp dụng bản cập nhật không chỉ mang tính phòng ngừa, mà còn là biện pháp bắt buộc để bảo vệ tính toàn vẹn dữ liệu và duy trì khả năng phục hồi của toàn bộ hệ thống an ninh nội bộ.
Theo Security Online