Veeam, Backup & Replication yazılımını etkileyen kritik bir güvenlik açığını kapatan yeni güncellemeyi yayınladı. Kimliği doğrulanmış düşük yetkili alan adı kullanıcılarının uzaktan kod çalıştırmasına izin verebilen zafiyet, etki alanına dâhil edilen yedekleme sunucularını doğrudan etkiliyor. Şirket, güvenlik riskini ortadan kaldırmak için kullanıcıların gecikmeden en güncel sürüme geçmesini önerdi.

Alan Adına Bağlı Sunucular Daha Büyük Risk Altında Bulunuyor

Veeam tarafından yayımlanan güvenlik bültenine göre CVE-2026-44963 kimliğiyle izlenen açık, Backup & Replication 12.3.2.4465 ile daha eski tüm 12.x sürümlerinde bulunuyor. WatchTowr araştırmacısı Sina Kheirkhah tarafından bildirilen zafiyet, 12.3.2.4854 sürümünde giderildi. Şirket, mimari değişiklikler nedeniyle 13.x serisinin bu sorundan etkilenmediğini açıkladı. Teknik değerlendirmelerde Veeam güvenlik açığı ifadesi de riski tanımlayan başlıklar arasında yer aldı.

Veeam, güvenlik açığının yalnızca Windows etki alanına katılmış Backup & Replication sunucularında kullanılabildiğini belirtti. Şirket, uzun süredir yedekleme sunucularının alan adına eklenmemesini tavsiye etmesine rağmen birçok kuruluşun bu öneriyi uygulamadığını vurguladı. Açığın kullanılabilmesi için düşük ayrıcalıklara sahip bir alan adı hesabı yeterli olurken saldırganın bu yetkiyle uzaktan kod çalıştırabildiği ifade edildi. Analizlerde Veeam Backup & Replication açığı ifadesi de ilgili sürümleri tanımlayan teknik kavramlardan biri olarak öne çıktı.

Fidye Yazılımı Grupları Yedekleme Sunucularını Hedef Almaya Devam Ediyor

Şirket, güvenlik açığının aktif olarak istismar edildiğine ilişkin herhangi bir bulgu bulunmadığını açıkladı. Buna rağmen Veeam, yamaların yayınlanmasının ardından saldırganların tersine mühendislik yöntemleriyle yeni istismar araçları geliştirmeye çalışmasının yaygın bir yöntem olduğuna dikkat çekti. Bu nedenle henüz güncellenmeyen sistemlerin kısa süre içinde hedef hâline gelebileceği uyarısı yapıldı. Teknik raporlarda uzaktan kod çalıştırma açığı ile yedekleme sunucusu güvenliği ifadeleri de öne çıkan kavramlar arasında yer aldı.

Siber güvenlik uzmanları, fidye yazılımı gruplarının uzun süredir Veeam sunucularını öncelikli hedef olarak seçtiğini belirtiyor. Saldırganlar, ele geçirilen yedekleme sunucularını hassas verileri çalmak, ağ içerisinde yatay hareket etmek ile kurtarma sürecini engellemek amacıyla yedekleri silmek için kullanabiliyor. Geçmiş yıllarda CISA, Veeam Backup & Replication ürünündeki dört farklı güvenlik açığının aktif saldırılarda kullanıldığını duyurmuştu. Sophos X-Ops ise 2024 yılında Akira, Fog ile Frag fidye yazılımı gruplarının başka bir kritik Veeam açığını silaha dönüştürdüğünü açıklamıştı. Güvenlik araştırmaları ayrıca FIN7 ile Cuba fidye yazılımı grubunun da benzer zafiyetleri hedef alan operasyonlarla ilişkilendirildiğini gösteriyor. Değerlendirmelerde kurumsal veri yedekleme güvenliği kavramı da dikkat çeken başlıklar arasında bulunuyor.