A Veeam liberou um patch emergencial para corrigir múltiplas falhas graves de execução remota de código (RCE) no produto Veeam Backup & Replication versão 12. Essas brechas permitem que usuários com acesso autenticado no domínio usem essas falhas para executar código malicioso diretamente nos servidores de backup e hosts da infraestrutura o que representa um risco extremo para ambientes corporativos.
Duas das falhas mais perigosas atingem instalações de Veeam Backup & Replication que fazem parte de um domínio Windows. A CVE‑2025‑48983 atinge o serviço Mount em hosts de infraestrutura: um usuário autenticado pode explorar o bug para rodar código arbitrário remotamente pontuação CVSS 9,9. A CVE‑2025‑48984 opera de maneira semelhante, mas ataca o servidor principal de backup, também por usuário autenticado, e com a mesma gravidade (9,9).
Além dessas, há uma vulnerabilidade de elevação de privilégios locais no Veeam Agent para Windows a CVE‑2025‑48982. Se um administrador restaura um arquivo malicioso, essa falha permite que o atacante obtenha permissões elevadas no sistema.
Todas essas falhas foram solucionadas no patch Veeam Backup & Replication 12.3.2.4165 e na atualização Veeam Agent for Microsoft Windows 6.3.2.1302.
Por que essas falhas são especialmente preocupantes
Primeiro, um ponto crítico é que o invasor precisa apenas de acesso de domínio autenticado ou seja, alguém que já tenha credenciais válidas no ambiente. Não é necessário explorar vulnerabilidades externas ou falhas de rede.
Segundo, essas falhas permitem que o código malicioso seja executado no contexto do serviço de backup ou das máquinas de infraestrutura locais com alto privilégio e acesso a dados críticos. Em muitos casos, backups são alvos centrais para ataques de ransomware ou espionagem.
Terceiro, depois que o patch é divulgado, muitos invasores tentam reverter engenharia o que foi corrigido, buscando formas de explorar ambientes que ainda não foram atualizados. Quanto mais tempo levar para patchar, maior é o risco de serem explorados em massa.
Por fim, versões não suportadas devem ser consideradas vulneráveis, mesmo que não tenham sido testadas oficialmente.
Como solucionar o problema (e proteger seu ambiente)
Se você usa o Veeam Backup & Replication 12 ou o Veeam Agent para Windows, o passo urgente é instalar as versões corretas dos patches, confira o KB4771:
- Backup & Replication: 12.3.2.4165
- Agent para Windows: 6.3.2.1302
Depois da atualização, recomenda-se auditar servidores de backup e hosts de infraestrutura, verificar permissões de contas de domínio e eliminar privilégios desnecessários. A Veeam também oferece um guia de melhores práticas de segurança para hardening de ambientes (configurações de domínio vs. workgroup, restrições de acesso, etc.).
Se não for possível aplicar o patch imediatamente, um mitigante temporário é isolar os servidores de backup em segmentos de rede dedicados e restringir muito as contas com acesso administrativo.
O alerta final
Essas vulnerabilidades no Veeam são um exemplo perfeito de risco em camadas críticas: falhas em infraestrutura de backup são terreno fértil para ataques devastadores.
Portanto, se sua empresa usa Veeam, não espere, quanto mais rápido aplicar o patch e fortalecer controles, menor a janela de oportunidade para invasores.
Você já conferiu se seus servidores de backup estão na versão segura? Vamos revisar isso agora?
