Veeam Backup: Codeschmuggel durch MitM-Lücke im Updater möglich
Veeam Backup enthält einen Updater, der für Man-in-the-Middle-Attacken anfällig ist. Angreifer können Schadcode einschleusen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In Veeam Backup Appliances kommt ein Updater zum Einsatz, der eine Sicherheitslücke erhält. Angreifer können dadurch Schadocde einschleusen und ausführen. Updates sind verfügbar.
In einer Sicherheitsmitteilung erörtert Veeam die Schwachstelle. "Eine Schwachstelle in der Veeam Updater-Komponente ermöglicht Angreifern, eine Man-in-the-Middle-Attacke zu nutzen, um beliebigen Code auf betroffenen Appliances mit Root-Berechtigungen auszuführen", schreibt der Hersteller (CVE-2025-23114, CVSS 9.0, Risiko "kritisch"). Davon sei etwa die aktuelle Version von Veeam Backup for Salesforce 3.1 und vorherige betroffen.
Wirrungen um betroffene Softwareversionen
Der Versuch, die betroffenen Versionen aufzulisten, wird etwas von den Marketing-Bemühungen durchkreuzt, die Lücke und Auswirkungen möglichst kleinzureden. Konkret betroffen sind demnach jedoch Veeam Backup for AWS 6a und 7, for Google Cloud 4 und 5, for Microsoft Azure 6a und 6, for Nutanix AHV 5.0 und 5.1 sowie for Oracle Linux Virtualization Manager und Red Hat Virtualization 3, 4.0 und 4.1. Für diese stehen teils seit Mitte vergangenen Jahres jedoch aktualisierte Versionen bereit. Für Veeam Backup for Salesforce steht nun neu die Updater-Komponente in Version 7.9.0.1124 zur Verfügung, die die Schwachstelle ebenfalls ausbessert.
Wer Veeam Backup & Replication mit diesen Appliances einsetzt, muss die Software auf Version 12.3 oder neuer aktualisieren und die Appliances auf die genannten fehlerkorrigierten Stände oder jüngere bringen. Die aktualisierten Pakete sollen im Repository von Veeam zum Download bereitstehen. Die Aplliances und Software enthält jedoch einen einfach nutzbaren Update-Mechanismus, der standardmäßig aktiv ist und die Aktualisierungen bereits durchgeführt haben sollte. Dies sollten IT-Verantwortliche überprüfen und gegebenenfalls nachholen.
Zuletzt fielen Sicherheitslücken in der Veeam Service Provider Console (VSPC) im vergangenen Dezember auf. Eine kritische Lücke erlaubte das Einschleusen und Ausführen von Schadcode, eine hochriskante hingegen den Zugriff auf NTLM-Hashes. Auch hier stehen Updates bereit, die die Schwachstellen ausbessern.
(dmk)