Datenschutz & Sicherheit
Veeam Backup & Replication: Updates schließen Schadcode-Schmuggel-Lücken
In der Backup-Software Veeam Backup & Replication haben die Programmierer mehrere, teils sogar kritische Sicherheitslücken entdeckt. Sie erlauben Angreifern unter anderem, beliebigen Code einzuschleusen und auszuführen. Updates bessern die Schwachstellen aus.
Weiterlesen nach der Anzeige
Veeam hat zwei Sicherheitsmeldungen veröffentlicht. In der ersten Mitteilung listet das Unternehmen die Sicherheitslecks auf, die das Update auf Veeam Backup & Replication 12.3.2.4465 schließt. Details nennt Veeam jedoch nicht, sondern lediglich die Auswirkungen. Zwei Lücken ermöglichen etwa authentifizierten Domain-Usern, Schadcode aus dem Netz auf dem Backup-Server auszuführen (CVE-2026-21666, CVE-2026-21667, beide CVSS 9.9, Risiko „kritisch“). Angemeldete Domain-Nutzer können zudem Zugriffsbeschränkungen umgehen und beliebige Dateien in Backup-Repositories manipulieren (CVE-2026-21668, CVSS 8.8, Risiko „hoch“). Auf Windows-basierten Backup & Replication-Servern ist zudem die Ausweitung der Rechte möglich (CVE-2026-21672, CVSS 8.8, Risiko „hoch“). IT-Verantwortliche mit Veeam Backup & Replication 12, 12.1, 12.2, 12.3, 12.3.1 und 12.3.2 sollen auf die neue Version aktualisieren.
Eine zweite Sicherheitsmitteilung fasst die Schwachstellen zusammen, die die Version Veeam Backup & Replication 13.0.1.2067 ausbessert. Auch hier können angemeldete Domain-User Schadcode aus dem Netz auf dem Backup-Server ausführen (CVE-2026-21669, CVSS 9.9, Risiko „kritisch“). In Hochverfügbarkeitsumgebungen (High Availability, HA) von Veeam Backup & Replication können User mit Backup-Admin-Rolle beliebigen Code ausführen (CVE-2026-21671, CVSS 9.1, Risiko „kritisch“). Die Rechteausweitungslücke CVE-2026-21672 betrifft auch den 13er-Entwicklungszweig. Außerdem können Nutzer mit niedrigen Rechten gespeicherte SSH-Zugangsdaten auslesen (CVE-2026-21670, CVSS 7.7, Risiko „hoch“).
Veeam: Schwachstellen in allen Versionen
In den 12er- und 13er-Fassungen von Veeam finden sich zudem gemeinsame Sicherheitslücken. Nutzer, die in der Backup-Viewer-Rolle aktiv sind, können zudem Code aus dem Netz als User „postgres“ ausführen (CVE-2026-21708, CVSS 9.9, Risiko „kritisch“). Die Version passt zudem noch den Port-Range des Veeam Agent für Linux an den von anderen Veeam-Produkten an, er liegt nun zwischen 2500 und 3000. Veeam gibt an, dass die Lücken in internen Tests und über Einreichungen über die Bug-Bounty-Plattform HackerOne gefunden wurden. Eine öffentliche Ausnutzung berichtet der Hersteller nicht.
IT-Verantwortliche sollten sich zügig um die Aktualisierung ihrer Veeam-Systeme kümmern. Die kritischen Sicherheitslücken bieten Angreifern andernfalls eine Angriffsfläche. Zuletzt hatte Veeam mehrere Schwachstellen in der Backup-Software im Januar korrigiert.
(dmk)