Veeam corrige falha crítica de RCE
A Veeam lançou uma correção de segurança para CVE-2026-44963, uma vulnerabilidade crítica no Backup & Replication que permite execução remota de código (RCE) por qualquer usuário de domínio com privilégios baixos. A falha, reportada pelo pesquisador Sina Kheirkhah da WatchTowr, afeta todas as builds da versão 12.x até 12.3.2.4465 e foi corrigida na versão 12.3.2.4854. Instalações da versão 13.x não são afetadas devido a mudanças arquiteturais.
Como a vulnerabilidade funciona
A falha explora o fato de que muitos clientes ingressam o servidor Veeam Backup em um domínio Windows — uma prática desaconselhada pela Veeam há anos, mas amplamente ignorada. Quando o servidor VBR está ingressado no domínio, qualquer usuário autenticado com privilégios mínimos pode enviar requisições especialmente criadas que resultam em execução arbitrária de código no servidor de backup com os privilégios do serviço Veeam.
O impacto é particularmente grave porque o servidor de backup tem acesso a praticamente toda a infraestrutura: credenciais armazenadas para vCenters, servidores Hyper-V, shares de arquivos e bancos de dados. Um atacante com acesso ao servidor Veeam pode extrair essas credenciais, mover-se lateralmente pela rede e, o mais devastador, apagar os backups antes de detonar um ransomware.
Alvo frequente de ransomware
A Veeam alertou que, embora não haja relatos de exploração ativa de CVE-2026-44963, grupos de ransomware historicamente priorizam ataques a servidores de backup. Operações como Akira, Fog e Frag já exploraram falhas anteriores do VBR — incluindo CVE-2024-40711, usada por múltiplas gangues simultaneamente. A CISA catalogou quatro vulnerabilidades do Veeam como exploradas ativamente, todas abusadas por ransomware.
O grupo FIN7, frequentemente associado a operações de ransomware, também teve acesso a infraestruturas via vulnerabilidades Veeam. A realidade é que, para grupos ransomware, destruir a capacidade de recuperação da vítima é tão importante quanto criptografar os dados — como mostrou o caso do grupo iraniano que destruiu backups em campanha global.
| CVE | CVSS | Impacto | Versões afetadas | Correção |
|---|---|---|---|---|
| CVE-2026-44963 | Crítico | RCE por usuário de domínio | VBR 12.x até 12.3.2.4465 | 12.3.2.4854 |
| CVE-2024-40711 | Crítico | RCE explorado por Akira, Fog, Frag | VBR 12.x | Patch nov 2024 |
O que fazer agora
Atualize imediatamente para Veeam Backup & Replication 12.3.2.4854 ou migre para a versão 13.x, que não é afetada. Se o servidor VBR estiver ingressado no domínio, remova-o do domínio e use contas de serviço locais com privilégios mínimos — essa é a recomendação de longa data da Veeam. Monitore logs do VBR para execuções de processos incomuns e revise permissões de acesso ao servidor de backup. Rotacione todas as credenciais armazenadas no Veeam após a atualização.