Veeam Backup & Replication’da 4 Kritik RCE Açığı ve Güvenlik Önlemleri

Anasayfa » Veeam Backup & Replication’da 4 Kritik RCE Açığı ve Güvenlik Önlemleri
Siber Güvenlik, Yama Yönetimi, Zafiyetler
Ocak 8, 2026Ocak 8, 2026Tarafından Cybernews.TR
0
Veeam Backup & Replication’da 4 Kritik RCE Açığı ve Güvenlik Önlemleri

Saldırının Genel Çerçevesi

Veeam Backup & Replication ürününde, CVE-2025-59470 kodlu ve CVSS 9.0 skoruna sahip kritik bir uzaktan kod çalıştırma (RCE) açığı tespit edildi. Bu zafiyet, yedekleme veya bant operatörü rollerine sahip kullanıcıların, PostgreSQL kullanıcısı olarak kötü amaçlı parametreler gönderip sistem üzerinde uzaktan kod çalıştırmasına olanak tanıyor. Ayrıca, aynı ürün içinde CVE-2025-55125, CVE-2025-59468 ve CVE-2025-59469 kodlu üç yüksek önem dereceli zafiyet daha bulunuyor.

Hangi Sistemler Risk Altında?

Bu açıklardan etkilenen sistemler, Veeam Backup & Replication 13 sürümünün 13.0.1.180 ve önceki yapımlarıdır. Özellikle yedekleme ve bant operatörü rollerine sahip kullanıcıların bulunduğu kurumsal ortamlarda risk büyüktür. Bu roller, yedekleme işlerini başlatma/durdurma, yedek dışa aktarımı, bant yönetimi gibi yüksek ayrıcalıklı işlemleri gerçekleştirebilmektedir. Dolayısıyla, bu zafiyetlerin kötüye kullanılması durumunda sistem bütünlüğü ve veri güvenliği ciddi şekilde tehlikeye girebilir.

Saldırı Zinciri ve Teknik Detaylar

  • Kullanılan zafiyetler: CVE-2025-59470 (RCE, CVSS 9.0), CVE-2025-55125 (root RCE, CVSS 7.2), CVE-2025-59468 (RCE, CVSS 6.7), CVE-2025-59469 (root dosya yazma, CVSS 7.2)
  • Hedef roller: Yedekleme Operatörü, Bant Operatörü, Yedekleme Yöneticisi
  • Saldırı adımları: Kötü amaçlı parametre veya yapılandırma dosyası gönderimi ile yetkili kullanıcıların ayrıcalıkları kullanılarak uzaktan kod çalıştırma veya dosya yazma işlemi
  • Önerilen savunma: Güncel yama uygulaması, IAM politikalarının sıkılaştırılması, EDR ve SIEM sistemlerinde anormal yedekleme aktivitelerinin izlenmesi, ağ segmentasyonu ve MFA kullanımı

Siber Güvenlik Ekipleri İçin Öneriler

  • Veeam Backup & Replication ürününü 13.0.1.1071 sürümüne güncelleyin.
  • Yedekleme ve bant operatörü rollerine sahip kullanıcıların ayrıcalıklarını gözden geçirin ve gereksiz yetkileri kaldırın.
  • EDR çözümleri ile şüpheli komut çalıştırma ve dosya yazma aktivitelerini izleyin.
  • SIEM sistemlerinde yedekleme işlerinin başlatılması/durdurulması ve bant işlemleri ile ilgili logları detaylı takip edin.
  • Ağ segmentasyonu ile yedekleme sunucularını kritik altyapıdan izole edin.
  • IAM politikalarında rol tabanlı erişim kontrollerini (RBAC) sıkılaştırın ve MFA uygulayın.
  • Olay müdahale planlarını güncelleyerek bu tür zafiyetlerin istismarına karşı hızlı aksiyon alınmasını sağlayın.
  • Yedekleme ve bant işlemlerinde kullanılan parametrelerin doğruluğunu ve bütünlüğünü düzenli olarak kontrol edin.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumunda yedekleme operatörüne ait hesap kötü niyetli bir aktör tarafından ele geçirildiğinde, CVE-2025-59470 açığı kullanılarak PostgreSQL kullanıcısı olarak uzaktan kod çalıştırılabilir. Bu durum, kritik finansal verilerin manipülasyonu veya sistemlerin tamamen kontrol altına alınması riskini doğurur. Kurumun SIEM ve EDR sistemleri, anormal yedekleme aktivitelerini tespit edip alarm üretmezse, saldırganlar uzun süre fark edilmeden hareket edebilir. Bu nedenle, yedekleme süreçlerinin güvenliği, sadece veri yedekleme değil, aynı zamanda siber güvenlik açısından da kritik öneme sahiptir.

, , , , , , ,