Back-upsoftware Veeam bevat beveiligingsgaten met CVSS-scores van 9,9

Veeam biedt een update voor zijn Backup & Replication-software waarin drie zeer ernstige beveiligingsgaten zitten. Twee scoren een 9,9 op de CVSS-schaal, wat bijna het hoogst haalbare is in die rangschikking voor kwetsbaarheden. Het derde gat krijgt een 7,3 op de CVSS-schaal.

De kwetsbaarheden zitten in versie 12 van Veeam Backup & Replication. De update naar versie 12.3.2.4165 verhelpt de drie beveiligingsgaten, meldt Veeam in een supportbericht. Die dinsdag uitgebrachte patch is voor versies 12.3, 12.3.1 en 12.3.2. De drie kwetsbaarheden zijn echter ook van toepassing op versies 12, 12.1 en 12.2. Gebruikers die nog een van die oudere releases gebruiken, moeten eerst een tussentijdse release installeren.

De twee kwetsbaarheden (CVE-2025-48983 en CVE-2025-48984) met een score van 9,9 in het Common Vulnerability Scoring System (CVSS) geven kwaadwillenden de mogelijkheid om op afstand eigen code uit te voeren op systemen met de back-upsoftware van Veeam. Aanvallers moeten dan wel al geauthenticeerd zijn als gebruiker op het Active Directory-domein waarin de kwetsbare Veeam-software draait. De derde kwetsbaarheid (CVE-2025-48982) maakt het mogelijk om hogere lokale rechten te verkrijgen. Daarvoor moet een systeembeheerder ertoe aangezet worden om een kwaadaardig bestand te herstellen.

Veeam meldt dat de twee ernstigste kwetsbaarheden alleen van toepassing zijn op back-upservers die zijn verbonden met een Active Directory-domein. Zo'n opstelling is met het oog op beveiliging niet geadviseerd als beste optie, legt de leverancier uit in een uitlegdocument met best practices voor ontwerp en implementatie van back-upsystemen. Verder meldt Veeam dat de aankomende versie 13 van zijn software voor back-up en replicatie niet wordt getroffen door deze twee kwetsbaarheden.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 15-10-2025 15:03
30 • submitter: X-DraGoN

15-10-2025 • 15:03

30

Submitter: X-DraGoN

Lees meer

SonicWall bevestigt dat aanvaller toegang had tot back-ups in MySonicWall
SonicWall bevestigt dat aanvaller toegang had tot back-ups in MySonicWall Nieuws van 9 oktober 2025
Zuid-Korea verliest overheidsdata door brand en ontbreken van back-up
Zuid-Korea verliest overheidsdata door brand en ontbreken van back-up Nieuws van 6 oktober 2025
Google Cloud wist per ongeluk account van Australisch pensioenfonds
Google Cloud wist per ongeluk account van Australisch pensioenfonds Nieuws van 11 mei 2024
Overige software Netwerk en systeembeheer Backup Cybersecurity Security Update

Reacties (30)

-Moderatie-faq
30
30
22
2
0
5
Wijzig sortering

Sorteer op:

Weergave:
Da Rock 15 oktober 2025 15:07
Gebruikers die nog een van die oudere releases gebruiken, moeten eerst een tussentijdse release installeren.
Dit is de specifieke release 12.3.2.3617. Als de patch geinstalleerd wordt op een oudere versie krijgen gebruikers de melding dat de patch niet compatible is met de huidige versie op het systeem.

Daarnaast wil ik iedereen alvast waarschuwen voor het downloaden van B&R via de veeam site, hier zit de patch nog NIET in. De patch moet los gedownload worden.

[Reactie gewijzigd door Da Rock op 15 oktober 2025 15:09]

Reageer
rusc @Da Rock15 oktober 2025 16:13
Filename: VeeamBackup&Replication_12.3.2.4165_20251006.iso

Release date: 14-10-2025

VeeamBackup&Replication_12.3.2.4165_20251006_patch.zip zie ik niet ter download staan op de website van Veeam.

De iso moet toch ook een goede keus zijn waar de patch in verwerkt is?
Reageer
Da Rock @rusc15 oktober 2025 16:16
Onderaan deze pagina kun je de patch downloaden.
KB4696: Release Information for Veeam Backup & Replication 12.3

Ik heb gister geupdate en dacht slim te zijn door de nieuwe B&R versie te downloaden, deze heet echter wel 12.3.2.4165_20251006.iso maar als ik deze wilde installeren stond er 'modify' in plaats van 'Update'

Uiteindelijk eindigde ik met bovenstaande link om de patch te downloaden en te installeren.
Reageer
xCarbonN- @Da Rock15 oktober 2025 16:46
In de iso zit een folder "Updates" welke het bestand "VeeamBackup&Replication_12.3.2.4165_patch_20251006.exe" bevat dus met de ISO kan je verder!
Reageer
maevian @Da Rock15 oktober 2025 15:24
Filename: VeeamBackup&Replication_12.3.2.4165_20251006_patch.zip

Dit is de juiste patch? Wij zitten al op 12.3.2.3617
Reageer
Da Rock @maevian15 oktober 2025 15:26
Dat is inderdaad de juiste patch die je over versie 12.3.2.3617 moet installeren.
Reageer
CH4OS 15 oktober 2025 16:28
Twee scoren een 9,9 op de CVSS-schaal...
Ik ben dan misschien een nitpicker, maar er zijn verschillende versies van de CVSS schaal. Ik neem aan dat dit CVSSv3 is? :)
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@CH4OS15 oktober 2025 16:45
Dat staat gewoon direct in de link:

CVE-2025-48983
CVSS v3.1 Score 9.9
Vectoren: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVE-2025-48984
CVSS v3.1 Score: 9.9
Vectoren: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVE-2025-48982
CVSS v3.1 Score: 7.3
Vectoren: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

[Reactie gewijzigd door Bor op 15 oktober 2025 16:46]

Reageer
Johan9711 15 oktober 2025 15:15
Tja, ook niet best practice om je backupserver in het domein te hebben...

Snap nooit zo goed waarom mensen dat nog doen.

[Reactie gewijzigd door Johan9711 op 15 oktober 2025 15:15]

Reageer
walteij @Johan971115 oktober 2025 15:29
Ik deel je mening, maar het maakt authenticatie voor controles en restore activiteiten zoveel makkelijker, mensen zijn liever lui dan moe en hebben ook een broertje dood aan verschillende accounts voor verschillende systemen.
Reageer
xCarbonN- @walteij15 oktober 2025 16:47
Management console op een management server plaatsen kan daarin helpen, kan je opvolgen en restoren zonder naar de server te gaan.
Op de console kan je dan weer MFA zetten zodat ook die dichtgetimmerd zit.
Reageer
rjong5 @xCarbonN-15 oktober 2025 18:58
Dan heb je nog steeds losse account ( non domain) die jemoet aanmaken en rollen geven. ( Tenzij je backup server toch domain joined is, maar dan kan je net zo goed daarop inloggen ipv de console te gebruiken op een andere server)
Reageer
xCarbonN- @rjong515 oktober 2025 20:03
Ben ik het niet helemaal mee eens.
Je moet inderdaad alsnog een account aanmaken maar best practice van veeam zegt rdp uit en naar security is dat ook een aanrader. Dan is de console toch net wat makkelijker dan een hypervisor console of console van de server zelf indien fysiek.
Reageer
rjong5 @xCarbonN-15 oktober 2025 21:53
Klopt, maar jij reageerde op iemand die aangaf dat veel mensen geen zin hebben in verschillende accounts overal. Die ga je nu alsnog nodig hebben natuurlijk.

Verder helemaal eens he, rdp uit op backupserver zelf en console op management server is zekers aan te raden
Reageer
toxict @Johan971115 oktober 2025 15:58
Je kan prima een aparte backup domain hebben met een one way trust, zodat Veeam overal bij kan komen vanuit het backup domain en omgekeerd niet. Op 1 of 2 beheerders na bijv.
Reageer
jhijman @toxict15 oktober 2025 16:21
Oh zeker maar nu met automated restores (dag en nacht) en allerlei software om dat in de gaten te houden en logging. Ik praat het niet goed maar soms kan je echt niet anders. Uiteraard dan wel alle maatregelen nemen zoals geen directe internet conectie, jump servers netwerksegmentatie, mfa etc
Reageer
Triblade_8472 @jhijman15 oktober 2025 19:21
Wat daarvan vereist een domain join dan?

Volgens mij kan je alles prima wat je wil, zonder.
Reageer
jhijman @Triblade_847215 oktober 2025 19:44
Oh mij hoef je niet te overtuigen hoor 🤣 maar er zijn regeltjes en richtlijnen van hoog bovenaf die dit voor ons tegenhouden. Daarom zeg ik soms heb je te dealen met de realiteit die er is. Uiteraard grijpen we elk moment aan om hier weer over te beginnen
Reageer
Da Rock @Johan971115 oktober 2025 15:31
Ik kan genoeg redenen bedenken waarom je een backupserver in een domein zou willen. Maar het is enorm af te raden. Elke situatie en infra is complex, en soms is een backup server in het domein dan handig afhankelijk van de infrastructuur die misschien wat verouderd is.

Het is een enorme ingang voor kwaadwillenden die toegang willen tot backups of deze willen verwijderen. Dan kan je zeggen, ik ga er alles aan doen om mijn infrastructuur te beveiligen maar dan moet je wel de juiste IT (partner) in handen hebben en de middelen en dat heeft lang niet iedereen.
Reageer
jhijman @Johan971115 oktober 2025 15:45
Klopt helemaal en soms heb je geen keuze en bepaal je dat niet zelf. Dus patchen maar maar de vorige versie had ook al een cve 9.9 en die daarvoor ook dus waarom dit nu pas belangrijk word geacht snap ik niet. Zie deze link

https://www.veeam.com/kb4696

Dit is versie 3 met een cve 9.9

[Reactie gewijzigd door jhijman op 15 oktober 2025 16:17]

Reageer
Mastakilla 15 oktober 2025 15:42
"Veeam Agent for Microsoft Windows FREE" -> is deze ook lek? Die gebruik ik hier thuis namelijk...
Reageer
jhijman @Mastakilla15 oktober 2025 15:53
Ja die heeft ook een cve 9.9

https://www.veeam.com/kb4778
Reageer
Mastakilla @jhijman15 oktober 2025 16:31
Voor zover ik kan zien is enkel CVE-2025-48982 (CVE 7.3) van toepassing op de Agent?
Reageer
jhijman @Mastakilla15 oktober 2025 16:33
Je hebt harstikke gelijk geen 9.9 maar een 7.3. Goede correctie thanks 🤘
Reageer
Da Rock @Mastakilla15 oktober 2025 15:54
Deze is ook lek KB4771: Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2.4165 Patch en dan zoeken op CVE-2025-48982.
Reageer
Mastakilla @Da Rock15 oktober 2025 16:32
Dus enkel die met een CVE van 7.3... Mooi, valt nog wel mee dan ;)
Reageer
wingull 15 oktober 2025 15:34
Heb vorige week 20 servers lekker naar 12.3.2.3617 geupdate, dacht goed bezig te zijn. Helaas
Reageer
FBI1988 @wingull15 oktober 2025 16:05
Wij zitten met al onze klanten ook op 12.3.2.3617 gelukkig, dus patch is voldoende. Zo blijf je lekker bezig. Kan patchen gelukkig vanuit mijn serviceprovider console.

[Reactie gewijzigd door FBI1988 op 15 oktober 2025 16:06]

Reageer
dasiro 15 oktober 2025 18:56
Veeam meldt dat de twee ernstigste kwetsbaarheden alleen van toepassing zijn op back-upservers die zijn verbonden met een Active Directory-domein. Zo'n opstelling is met het oog op beveiliging niet geadviseerd als beste optie, legt de leverancier uit in een uitlegdocument met best practices voor ontwerp en implementatie van back-upsystemen.
Nee Veeam, als jullie het aanbieden, dan moet je ervoor zorgen dat het veilig en correct is. Als je authenticatie volledig legitiem is, maar jullie implementatie niet, dan mag je niet je klanten verwijten dat het geen best practice is in het geval van niet een, maar twéé van de zwaarst mogelijke vulnerabilities. Dit is bijna de definitie van gaslighting.
Reageer
Triblade_8472 @dasiro15 oktober 2025 19:24
Dat doen ze toch ook? Vandaar de patch. En ze verwijten niet, ze benadrukken. En terecht!
Over gaslighting gesproken, lekker negatief...
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq