Vulnerabilità critiche in Veeam Backup: rischio totale di compromissione dei sistemi

Vulnerabilità critiche in Veeam Backup: rischio totale di compromissione dei sistemi

Vulnerabilità critiche in Veeam Backup & Replication: un rischio per la sicurezza delle infrastrutture IT

Le infrastrutture di backup sono storicamente il baluardo finale di ogni strategia di sicurezza IT. Tuttavia, quando una vulnerabilità le colpisce dall’interno, la posta in gioco diventa la sopravvivenza stessa delle aziende. La recente scoperta di gravi vulnerabilità in Veeam Backup & Replication, tra cui la CVE-2025-23120 e la CVE-2025-23121, sta scuotendo il mondo della cybersecurity e richiede un’analisi approfondita, nonché l’adozione immediata di contromisure efficaci.

Cosa sono CVE-2025-23120 e CVE-2025-23121

La CVE-2025-23120 è una vulnerabilità critica scoperta nel componente Veeam.Backup.Service, cuore pulsante della suite Veeam Backup & Replication. Classificata con un punteggio CVSS di 9.9 su 10, questa falla si basa su una gestione inadeguata dell’autenticazione del servizio. In pratica, un utente autenticato, anche con privilegi minimi, può eseguire codice arbitrario sul server, ottenendo i privilegi del servizio stesso. Questo apre la porta a una compromissione pressoché totale del sistema.

La successiva scoperta della CVE-2025-23121 ha evidenziato come la patch iniziale per la CVE-2025-23120 potesse essere aggirata. Sebbene gli exploit noti richiedano l’accesso autenticato al dominio, la situazione è critica perché molti backup server sono, contro ogni best practice, ancora collegati al dominio aziendale. Anche questa vulnerabilità riceve un punteggio CVSS massimo di 9.9, a conferma dell’estrema gravità.

Quali rischi comportano queste vulnerabilità

Un attaccante che sfrutta queste falle può:

  • Eseguire codice arbitrario da remoto: ottenere accesso completo alla macchina di backup.
  • Sottrarre o cancellare backup: eliminare ogni possibilità di ripristino dopo un attacco ransomware.
  • Distribuire malware: inserire payload dannosi nei backup, che possono propagarsi nel momento del ripristino.
  • Compromettere l’intera infrastruttura IT: il backup server spesso ha credenziali o accessi privilegiati su altri sistemi critici.

In particolare, la compromissione di un sistema di backup è devastante: non solo rappresenta un accesso privilegiato all’intera infrastruttura, ma può annullare ogni possibilità di recupero dopo un attacco.

Come avviene l’attacco

L’exploit richiede che l’attaccante disponga di credenziali di dominio valide. In molte realtà, il controllo sugli account di dominio non è sufficientemente rigoroso, lasciando spazio a movimenti laterali da parte di chi ha già ottenuto un primo accesso alla rete (ad esempio tramite phishing o vulnerabilità preesistenti). Veeam stesso raccomanda di non collegare i server di backup al dominio aziendale, ma la pratica è, purtroppo, ancora molto diffusa.

Il rischio aumenta ulteriormente laddove i backup server sono esposti, anche solo parzialmente, a reti meno sicure o a Internet. Anche se non sono disponibili al pubblico exploit noti, la storia recente di Veeam evidenzia un interesse crescente da parte di gruppi ransomware per queste piattaforme.

L’importanza degli aggiornamenti e delle best practice

La prima e più importante difesa contro queste vulnerabilità è applicare immediatamente le patch rilasciate dal vendor. Veeam ha pubblicato aggiornamenti risolutivi sia per la CVE-2025-23120 che per la CVE-2025-23121. Tuttavia, il patching, da solo, non basta: occorre una revisione completa della postura di sicurezza in relazione ai sistemi di backup.

Di seguito, una serie di raccomandazioni per ridurre drasticamente il rischio di compromissione:

1. Applicare subito tutti gli aggiornamenti

  • Aggiornare Veeam Backup & Replication all’ultima release disponibile.
  • Monitorare costantemente i security advisory del produttore.

2. Isolare i server di backup

  • Non collegare mai i backup server al dominio aziendale.
  • Collocare i sistemi di backup su reti segmentate e dedicate, senza accesso diretto dall’esterno.

3. Limitare gli accessi

  • Consentire l’accesso amministrativo solo da workstation di gestione sicure e ben protette.
  • Implementare il principio del privilegio minimo per tutti gli account che accedono ai sistemi di backup.
  • Utilizzare autenticazione a più fattori (MFA) dove possibile.

4. Monitorare e auditare

  • Abilitare e monitorare i log di accesso e di sistema su tutti i server di backup.
  • Implementare alert per attività sospette, come l’accesso fuori orario o la modifica non autorizzata delle impostazioni di backup.

5. Testare regolarmente i backup

  • Effettuare restore periodici e completi per verificare l’integrità delle copie di backup.
  • Conservare copie offline (air-gapped) non raggiungibili dalla rete aziendale.

6. Formazione e consapevolezza

  • Sensibilizzare il personale sull’importanza della sicurezza delle credenziali e dei sistemi di backup.
  • Eseguire simulazioni di attacco e penetration test per valutare la resilienza delle difese.

Considerazioni strategiche sulla sicurezza del backup

Gli attacchi ransomware degli ultimi anni hanno dimostrato come i backup siano spesso il primo obiettivo di chi vuole massimizzare l’impatto di una violazione. Un backup compromesso equivale, di fatto, a una condanna alla perdita totale dei dati o al pagamento di un riscatto.

Alcune pratiche avanzate per alzare ulteriormente il livello di protezione:

  • Implementare backup immutabili: utilizzare funzionalità che impediscano la modifica o la cancellazione dei backup per un periodo definito.
  • Replica geografica: mantenere copie dei backup in più sedi fisicamente separate.
  • Accesso Just-In-Time: abilitare temporaneamente l’accesso amministrativo solo quando necessario e per un tempo limitato.
  • Zero Trust: applicare principi di Zero Trust Security anche alle infrastrutture di backup, validando costantemente identità, device e contesto.

Le vulnerabilità CVE-2025-23120 e CVE-2025-23121 rappresentano un monito chiaro: nessuna infrastruttura può essere considerata sicura se non viene monitorata, aggiornata e segmentata con attenzione. La sicurezza dei backup è la sicurezza della continuità operativa di ogni organizzazione. Solo una strategia di difesa multi-livello che abbracci aggiornamenti tempestivi, segmentazione delle reti, monitoraggio attivo e formazione continua può limitare i danni di un eventuale attacco.

In definitiva, la vera resilienza IT nasce dalla consapevolezza e dalla prontezza nell’affrontare le nuove minacce: investire oggi nella protezione dei backup significa salvaguardare il futuro stesso dell’organizzazione.

Fonte: https://www.redhotcyber.com/post/vulnerabilita-critiche-in-veeam-backup-un-rischio-di-compromissione-totale-dei-sistemi

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto