Veeam corrige vulnerabilidad crítica RCE en Backup & Replication (CVSS 9.0)

Veeam publicó parches de seguridad para una vulnerabilidad crítica de ejecución remota de código (RCE) en su software Backup & Replication, identificada como CVE-2025-59470 y calificada con un puntaje CVSS 9.0.

La falla permite a operadores de respaldo o cinta ejecutar código arbitrario como el usuario postgres, abusando de parámetros maliciosos de intervalo u orden. El problema fue detectado durante pruebas internas de seguridad y corregido en la versión 13.0.1.1071, que soluciona un total de cuatro vulnerabilidades en la rama 13.

Detalles técnicos de CVE-2025-59470

La vulnerabilidad se explota a través de vectores de red accesibles a roles privilegiados, específicamente Backup Operator y Tape Operator, sin requerir interacción del usuario.

Características clave del fallo:

• Permite RCE como usuario postgres

• Impacta confidencialidad, integridad y disponibilidad

• Afecta todas las builds previas de la serie 13

• No requiere exploits complejos ni condiciones especiales

Aunque Veeam la clasifica como de “alta severidad” por existir controles mitigantes documentados, su puntuación CVSS la ubica en rango crítico desde una perspectiva de riesgo técnico.

Otras vulnerabilidades corregidas

La actualización 13.0.1.1071 también corrige:

• CVE-2025-55125 – CVSS 7.2
  RCE como root mediante archivo de configuración malicioso

• CVE-2025-59468 – CVSS 6.7
  RCE como postgres vía parámetro de contraseña

• CVE-2025-59469 – CVSS 7.2
  Escritura arbitraria de archivos como root

En conjunto, estas fallas evidencian riesgos significativos en entornos donde los servidores de respaldo operan con altos privilegios y acceso extendido a la infraestructura.

Impacto y riesgos para entornos empresariales

Los sistemas de respaldo suelen concentrar datos críticos y credenciales sensibles, por lo que su compromiso tiene un impacto desproporcionado. Un atacante que explote estas vulnerabilidades podría:

• Manipular o eliminar backups

• Interrumpir procesos de recuperación ante desastres

• Desplegar ransomware desde el sistema de respaldo

• Facilitar movimiento lateral dentro de la red

El riesgo se ve amplificado por el historial reciente de exploits en Veeam, como CVE-2025-23120 explotada activamente en marzo de 2025, lo que convierte a esta plataforma en un objetivo recurrente para actores de amenazas.

Hasta el momento no se reportan exploits activos, pero los roles afectados suelen estar habilitados en despliegues típicos.

Medidas de mitigación recomendadas

Acciones inmediatas

• Actualizar a Veeam Backup & Replication 13.0.1.1071

• Verificar compatibilidad con configuraciones y jobs existentes

Endurecimiento adicional

• Aplicar principio de menor privilegio

• Restringir estrictamente roles Backup y Tape Operator

• Monitorear uso de parámetros anómalos en tareas de respaldo

• Auditar logs de operaciones y accesos administrativos

Para minimizar downtime, se recomienda aplicar parches primero en entornos de staging o producción aislada, siguiendo las guías de seguridad oficiales de Veeam.

Conclusión

Las vulnerabilidades corregidas refuerzan una realidad conocida: los sistemas de respaldo son objetivos de alto valor y deben tratarse como infraestructura crítica. En este contexto, postergar actualizaciones en Veeam representa un riesgo directo de impacto operativo y financiero, especialmente frente a escenarios de ransomware.