I. Cách Thức Khai Thác:

Kẻ tấn công thực hiện Man-in-the-Middle (MitM), chặn kết nối giữa hệ thống Veeam và máy chủ cập nhật chính thức.

Khi Veeam Updater kiểm tra và tải xuống bản cập nhật, kẻ tấn công thay thế gói cập nhật hợp lệ bằng một tập tin chứa mã độc.

Veeam Updater thực thi tập tin cập nhật mà không xác minh đầy đủ tính hợp lệ, dẫn đến thực thi mã từ xa (RCE) với quyền root.

II. Tác Động

- Các Phiên Bản Bị Ảnh Hưởng:

+ Veeam Backup for Salesforce: 3.1 trở xuống

+ Veeam Backup for Nutanix AHV: 5.0, 5.1

+ Veeam Backup for AWS: 6a, 7

+ Veeam Backup for Microsoft Azure: 5a, 6

+ Veeam Backup for Google Cloud: 4, 5

+ Veeam Backup for Oracle Linux Virtualization Manager & Red Hat Virtualization: 3, 4.0, 4.1

- Nguy Cơ Đối Với Hệ Thống:

+ Chiếm quyền root hoàn toàn trên hệ thống Veeam Backup.

+ Cài đặt ransomware, mã độc hoặc cửa hậu (backdoor) để duy trì quyền truy cập.

+ Xóa, thay đổi hoặc đánh cắp dữ liệu sao lưu, làm gián đoạn quy trình khôi phục dữ liệu.

III. Khuyến Nghị

1. Cập Nhật Ngay Lập Tức

Veeam đã phát hành bản vá cho các phiên bản bị ảnh hưởng. Người dùng nên cập nhật Veeam Updater ngay lập tức

2.  Hướng Dẫn Cập Nhật:

- Truy cập giao diện quản lý Veeam Backup → Kiểm tra phiên bản Updater hiện tại trong Update History.

- Nếu phiên bản thấp hơn bản vá, tiến hành cập nhật ngay bằng Veeam Updater.

- Đảm bảo mọi kết nối cập nhật sử dụng TLS 1.2+ để giảm thiểu nguy cơ bị tấn công MitM.

IV. Tham khảo

CVE-2025-23114 (CVSS 9.0): Critical Veeam Backup Vulnerability Enables Remote Code Execution

Duy An – TTCNTT&TT