A Veeam corrigiu na terça-feira, 9 de junho de 2026, uma vulnerabilidade crítica (CVE-2026-44963, CVSS 9.4) no Backup & Replication que permite a qualquer usuário de domínio autenticado executar código remotamente no servidor de backup. A falha afeta as versões 12.3.2.4465 e anteriores do produto, usado por mais de 550 mil empresas no mundo, incluindo 82% da Fortune 500.
Como a falha funciona
A vulnerabilidade CVE-2026-44963 permite que um usuário de domínio com privilégios mínimos dispare execução remota de código no servidor Veeam Backup & Replication. O requisito é que o servidor VBR esteja integrado ao domínio Active Directory — uma configuração comum em ambientes corporativos, embora contrarie as boas práticas recomendadas pela Veeam há anos. O pesquisador Sina Kheirkhah, da WatchTowr, identificou e reportou a falha.
A correção está disponível na versão 12.3.2.4854. A Veeam confirmou que a versão 13.x não é afetada, graças a mudanças arquiteturais introduzidas nessa geração do produto.
Ransomware tem alvo preferencial
Servidores Veeam são alvo recorrente de grupos ransomware. A CISA flaggeou quatro vulnerabilidades VBR exploradas ativamente em ataques. Em novembro de 2024, as gangues Akira, Fog e Frag usaram a CVE-2024-40711 (outra RCE crítica no VBR) para comprometer redes. O grupo FIN7 — que colaborou com as operações Maze, Egregor, Conti, REvil e BlackBasta — e a gangue Cuba também exploraram falhas Veeam em campanhas.
Ao comprometer o servidor de backup, atacantes roubam dados sensíveis, movimentam-se lateralmente pela rede e destroem cópias de segurança, impedindo a recuperação da vítima sem pagamento de resgate. Falhas anteriores no Veeam já demonstraram esse padrão repetidas vezes.
Por que a exposição é grande
Muitas empresas ingressam o servidor Veeam no domínio Windows para simplificar a gestão de credenciais e agendamentos, ignorando a recomendação de mantê-lo isolado. Com a CVE-2026-44963, qualquer conta de domínio comprometida — incluindo contas de serviço ou usuários com privilégios limitados — se torna vetor de ataque contra a infraestrutura de backup inteira.
A Veeam alertou que atacantes costumam fazer engenharia reversa dos patches assim que são publicados. “A realidade sublinha a importância de instalar todas as atualizações sem demora”, afirmou a empresa em comunicado.
Medidas imediatas de proteção
Atualize o Veeam Backup & Replication para a versão 12.3.2.4854 ou superior. Se a atualização não for imediata, remova o servidor VBR do domínio Active Directory e proteja-o com isolamento de rede. Revise as permissões de acesso ao servidor de backup, limitando a contas administrativas dedicadas. Monitore logs de autenticação no VBR para detectar tentativas de acesso incomuns de contas de baixo privilégio. Considere a migração para a versão 13.x, que não é afetada por esta vulnerabilidade.
| Data | Evento |
|---|---|
| 9 de junho de 2026 | Veeam publica advisory e patch para CVE-2026-44963 |
| 9 de junho de 2026 | Pesquisador Sina Kheirkhah (WatchTowr) creditado pela descoberta |
| Março de 2026 | Veeam corrige múltiplas vulnerabilidades críticas de RCE e roubo de credenciais |
| Novembro de 2024 | Gangues Akira, Fog e Frag exploram CVE-2024-40711 no VBR |