Kritische Sicherheitslücke in Veeam Backup & Replication

Remote Code Execution durch Domänenkonten – Ihre Backup-Infrastruktur ist gefährdet

Veeam, einer der führenden Anbieter für Backup- und Wiederherstellungslösungen, hat mehrere kritische Sicherheitslücken in der Version 12.x seiner Backup & Replication Software veröffentlicht. Besonders betroffen sind domain-gebundene Backup-Server, die durch authentifizierte Benutzer kompromittiert werden können – mit potenziell verheerenden Folgen für die gesamte IT-Sicherheitsarchitektur.

Was ist passiert?

Die Sicherheitslücken – unter anderem CVE-2025-23121 und CVE-2025-24286 – ermöglichen Remote Code Execution (RCE) auf Backup-Servern. Das bedeutet: Ein Angreifer mit Domänenzugang kann beliebigen Code ausführen, Backups manipulieren oder löschen und sich Zugriff auf sensible Daten verschaffen. Der CVSS-Score liegt bei 9.9 von 10, was die Bedrohung als extrem kritisch einstuft.

Warum ist das für Unternehmen so gefährlich?

Backup-Systeme sind das Rückgrat jeder IT-Sicherheitsstrategie. Sie enthalten nicht nur sensible Daten, sondern auch Zugang zu Infrastrukturkomponenten, die im Ernstfall über die Wiederherstellung entscheiden. Laut Rapid7 war Veeam im Jahr 2024 in über 20 % der Incident-Response-Fälle ein Angriffsziel – entweder direkt oder als sekundärer Einstiegspunkt.

Wer ist betroffen?

• Alle Veeam Backup & Replication Installationen vor Version 12.3.2.3617
• Systeme mit Domänenanbindung
• Backup-Umgebungen ohne zusätzliche Härtungsmaßnahmen

Was ist zu tun?

✔️ Update auf Version 12.3.2.4165 durchführen
✔️ Domänenanbindung prüfen und ggf. entfernen
✔️ Zugriffsrechte minimieren – nur autorisierte Konten mit minimalen Berechtigungen
✔️ Netzwerksegmentierung und MFA implementieren
✔️ Write-Once-Storage für Backups nutzen
✔️ Logdaten analysieren auf verdächtige Aktivitäten

Quellen: Veeam Cyberincidence