Kritische Veeam Sicherheitslücke CVE‑2025‑23121 ermöglicht Domain‑Nutzern Angriffe auf Backup‑Server

Veeam hat in seiner Backup & Replication 12.3.2 (Build 12.3.2.3617) ein alarmierendes Sicherheitsupdate veröffentlicht. Im Zentrum steht die kritische Schwachstelle CVE‑2025‑23121 mit einem CVSS‑Score von 9,9/10. Sie erlaubt Remote Code Execution (RCE) – allerdings nur über einen authentifizierten Domain‑User auf einem domain‑gebundenen Backup‑Server

Wie funktioniert CVE‑2025‑23121?

• Wer: Authentifizierter Domain‑Nutzer
• Was: Remote Code Execution auf dem Backup‑Server
• Wie: Low-Complexity-Exploit — also für potenzielle Angreifer relativ leicht ausnutzbar
• Betroffen: Alle VBR‑Instanzen der Version 12.x (≤ 12.3.1.1139), wenn sie der Domäne beigetreten sind

Tenable, Rapid7 und Bleeping Computer warnen ausdrücklich vor dem Risiko für domänengebundene Server

Warum ist das so gefährlich?

• Backup-Server = wertvollstes Ziel: Hat ein Angreifer Zugriff, kann er Sicherungen modifizieren oder löschen – ein Türöffner für Ransomware. Schon ähnliche VBR-Schwächen wurden von Akira, Fog und anderen Ransomware-Gruppen genutzt
• Domänen-Fehlkonfiguration: Viele Firmen verbinden Backup-Server mit dem Windows-Domain-Controller – Veeam warnt aber genau davor und empfiehlt separate AD-Forests
• Relativ trivial ausnutzbar: Die Exploit-Barriere ist low complexity – ein Domain-Account genügt, kein Adminzugang nötig .

Was wurde noch gefixt?

Im gleichen Update stecken zwei weitere Schwachstellen:

1. CVE‑2025‑24286 (CVSS 7,2 – High): Domain‑Backup‑Operatoren können Backup-Jobs ändern und damit Arbitrary Code ausführen
2. CVE‑2025‑24287 (CVSS 6,1 – Medium): Lokale Nutzer können Veeam-Agent-Verzeichnisse verändern, ebenfalls mit möglicher Code‑Ausführung bei Windows-Agenten

Sofortmaßnahmen – What you should do now

1. Versions-Check & Update: VBR ≤ 12.3.1.1139 ist betroffen – unbedingt auf 12.3.2.3617 (oder neuer) upgraden
2. Testen Sie Ihre IT-Infrastruktur -> mit den passenden enthus Checks und Workshops
3. Wappnen Sie sich für Morgen -> bestens aufgestellt mit dem enthus Recovery Ready Check

Fazit

Die CVE‑2025‑23121 ist ein Weckruf für IT- und Sicherheitsverantwortliche. Ein Domain‑User mit nur Minimalrechten kann hier erheblichen Schaden anrichten – Backup-Integrität in Gefahr! Selbst Veeam warnt ausdrücklich davor, Backup-Server in den Haupt-Forest zu integrieren. Der Austausch auf 12.3.2.3617 ist daher keine Option, sondern Pflicht.

Bleiben Sie wachsam: Angreifer setzen zunehmend auf gezielte Angriffe auf Backup-Infrastruktur ->Teilen Sie diesen Beitrag intern – und: Update jetzt oder Risiko tragen!

Wir helfen gerne

Kontaktieren Sie Ihre bekannten Ansprechpartner:innen bei enthus oder wenden Sie sich unter hallo@enthus.de formlos an uns. Wir können Sie sowohl bei der Behebung der aktuellen Schwachstelle als auch im Hinblick auf Ihre ganzheitliche Security Strategie umfassend unterstützen.