A Veeam corrigiu na terça-feira, 9 de junho de 2026, uma vulnerabilidade crítica (CVE-2026-44963, CVSS 9.4) no Backup & Replication que permite a qualquer usuário de domínio autenticado executar código remotamente no servidor de backup. A falha afeta as versões 12.3.2.4465 e anteriores do produto, usado por mais de 550 mil empresas no mundo, incluindo 82% da Fortune 500.

Como a falha funciona

A vulnerabilidade CVE-2026-44963 permite que um usuário de domínio com privilégios mínimos dispare execução remota de código no servidor Veeam Backup & Replication. O requisito é que o servidor VBR esteja integrado ao domínio Active Directory — uma configuração comum em ambientes corporativos, embora contrarie as boas práticas recomendadas pela Veeam há anos. O pesquisador Sina Kheirkhah, da WatchTowr, identificou e reportou a falha.

A correção está disponível na versão 12.3.2.4854. A Veeam confirmou que a versão 13.x não é afetada, graças a mudanças arquiteturais introduzidas nessa geração do produto.

Ransomware tem alvo preferencial

Servidores Veeam são alvo recorrente de grupos ransomware. A CISA flaggeou quatro vulnerabilidades VBR exploradas ativamente em ataques. Em novembro de 2024, as gangues Akira, Fog e Frag usaram a CVE-2024-40711 (outra RCE crítica no VBR) para comprometer redes. O grupo FIN7 — que colaborou com as operações Maze, Egregor, Conti, REvil e BlackBasta — e a gangue Cuba também exploraram falhas Veeam em campanhas.

Ao comprometer o servidor de backup, atacantes roubam dados sensíveis, movimentam-se lateralmente pela rede e destroem cópias de segurança, impedindo a recuperação da vítima sem pagamento de resgate. Falhas anteriores no Veeam já demonstraram esse padrão repetidas vezes.

Por que a exposição é grande

Muitas empresas ingressam o servidor Veeam no domínio Windows para simplificar a gestão de credenciais e agendamentos, ignorando a recomendação de mantê-lo isolado. Com a CVE-2026-44963, qualquer conta de domínio comprometida — incluindo contas de serviço ou usuários com privilégios limitados — se torna vetor de ataque contra a infraestrutura de backup inteira.

A Veeam alertou que atacantes costumam fazer engenharia reversa dos patches assim que são publicados. “A realidade sublinha a importância de instalar todas as atualizações sem demora”, afirmou a empresa em comunicado.

Medidas imediatas de proteção

Atualize o Veeam Backup & Replication para a versão 12.3.2.4854 ou superior. Se a atualização não for imediata, remova o servidor VBR do domínio Active Directory e proteja-o com isolamento de rede. Revise as permissões de acesso ao servidor de backup, limitando a contas administrativas dedicadas. Monitore logs de autenticação no VBR para detectar tentativas de acesso incomuns de contas de baixo privilégio. Considere a migração para a versão 13.x, que não é afetada por esta vulnerabilidade.

Data Evento
9 de junho de 2026 Veeam publica advisory e patch para CVE-2026-44963
9 de junho de 2026 Pesquisador Sina Kheirkhah (WatchTowr) creditado pela descoberta
Março de 2026 Veeam corrige múltiplas vulnerabilidades críticas de RCE e roubo de credenciais
Novembro de 2024 Gangues Akira, Fog e Frag exploram CVE-2024-40711 no VBR

Fontes

BleepingComputer, The Hacker News, Veeam KB4696