Underc0de - La Casa de los Informáticos

Veeam, uno de los proveedores líderes mundiales en soluciones de copia de seguridad y recuperación de datos empresariales, ha publicado recientemente actualizaciones de seguridad urgentes para corregir múltiples vulnerabilidades en su software Veeam Backup & Replication (VBR). Entre los fallos corregidos destaca una vulnerabilidad crítica de ejecución remota de código (RCE) que podría permitir a actores maliciosos comprometer sistemas críticos y facilitar ataques de ransomware.

La vulnerabilidad principal está registrada como CVE-2025-59470 y afecta a Veeam Backup & Replication 13.0.1.180 y a todas las versiones anteriores de la rama 13. Aunque Veeam ajustó posteriormente la calificación de severidad, el impacto potencial sigue siendo elevado, especialmente en entornos empresariales donde los servidores de respaldo representan un activo estratégico clave.

Detalles técnicos de la vulnerabilidad CVE-2025-59470

Según el aviso de seguridad publicado por Veeam, la vulnerabilidad CVE-2025-59470 permite que un atacante con determinados privilegios pueda ejecutar código de forma remota en el sistema afectado.

Citar"Esta vulnerabilidad permite que un operador de copia de seguridad o de cinta realice ejecución remota de código (RCE) como usuario del servicio, enviando un intervalo o parámetro de pedido malicioso", explicó Veeam en su comunicado oficial.

Inicialmente, el fallo fue considerado crítico debido a su capacidad de permitir la ejecución de código arbitrario. Sin embargo, la compañía ajustó la severidad a alta, argumentando que solo puede ser explotado por usuarios que ya cuenten con los roles de Operador de Copia de Seguridad o Operador de Cinta.

Aun así, Veeam subrayó que estos roles deben tratarse como altamente privilegiados, ya que tienen acceso directo a datos sensibles y a los mecanismos de recuperación de la organización.

Citar"Los roles de Operador de Respaldo y Operador de Cinta se consideran roles altamente privilegiados y deben protegerse como tales. Seguir las directrices de seguridad recomendadas por Veeam reduce aún más la posibilidad de explotación", añadió la compañía.

Parche oficial y vulnerabilidades adicionales corregidas

Para mitigar estos riesgos, Veeam lanzó el 6 de enero la versión 13.0.1.1071, que no solo corrige CVE-2025-59470, sino que también soluciona otras dos vulnerabilidades relevantes:

• CVE-2025-55125 (alta severidad): permite a operadores maliciosos obtener ejecución remota de código mediante la creación de un archivo de configuración de respaldo malicioso.
• CVE-2025-59468 (severidad media): posibilita la ejecución de código a través del envío de un parámetro de contraseña malicioso.

Estas vulnerabilidades refuerzan la necesidad de mantener Veeam Backup & Replication completamente actualizado, ya que un solo fallo explotable puede comprometer la integridad de todo el sistema de respaldo de una organización.

Por qué Veeam Backup & Replication es un objetivo prioritario

El software Veeam Backup & Replication (VBR) es ampliamente utilizado en entornos corporativos para proteger datos y aplicaciones críticas, permitiendo su restauración rápida tras:

• Ciberataques
• Fallos de hardware
• Errores humanos
• Desastres naturales

Precisamente por este rol estratégico, los servidores VBR se han convertido en un objetivo prioritario para las bandas de ransomware. Comprometer el sistema de copias de seguridad permite a los atacantes eliminar o cifrar respaldos, aumentando la presión sobre las víctimas para pagar el rescate.

Veeam y su historial de ataques de ransomware

Diversas bandas de ransomware han reconocido públicamente que atacar Veeam es una táctica clave durante las intrusiones. Según declaraciones previas recogidas por investigadores de seguridad, los atacantes suelen apuntar primero a los servidores VBR porque:

• Facilitan el movimiento lateral dentro de la red
• Permiten el robo de datos a gran escala
• Eliminan la capacidad de recuperación de la víctima

Grupos como la banda de ransomware Cuba y el grupo FIN7, motivado económicamente y con vínculos históricos con Conti, REvil, Maze, Egregor y BlackBasta, ya habían sido relacionados anteriormente con ataques dirigidos contra vulnerabilidades de Veeam.

Más recientemente, en noviembre de 2024, los equipos de respuesta a incidentes de Sophos X-Ops revelaron que el ransomware Frag explotó otra vulnerabilidad RCE en VBR, identificada como CVE-2024-40711, apenas dos meses después de su divulgación pública.

La misma vulnerabilidad también fue utilizada en ataques de ransomware Akira y Fog desde octubre de 2024, dirigidos específicamente a servidores de respaldo Veeam sin parchear.

Impacto global y recomendaciones clave

Los productos de Veeam son utilizados por más de 550.000 clientes en todo el mundo, incluyendo:

• El 74 % de las 2.000 empresas globales más grandes
• El 82 % de las empresas Fortune 500

Esta adopción masiva convierte cualquier vulnerabilidad en Veeam en un riesgo sistémico para la seguridad empresarial global.

Para reducir el riesgo, los expertos recomiendan:

• Actualizar inmediatamente a Veeam Backup & Replication 13.0.1.1071 o superior
• Restringir y auditar los roles privilegiados de Operador de Backup y Operador de Cinta
• Aplicar el principio de mínimo privilegio
• Supervisar los registros de actividad en busca de comportamientos anómalos
• Aislar los servidores de respaldo del resto de la red cuando sea posible

En fin...

La corrección de CVE-2025-59470 y otras vulnerabilidades recientes demuestra que Veeam Backup & Replication sigue siendo un objetivo crítico para el cibercrimen, especialmente para las bandas de ransomware. Mantener los sistemas actualizados y proteger los roles privilegiados ya no es una buena práctica, sino una necesidad operativa esencial para cualquier organización que dependa de sus copias de seguridad para sobrevivir a un ciberataque.

Fuente: https://thehackernews.com/