Veeam Backup&ReplicationにCVSS 9.9の深刻な脆弱性 急ぎ対応を:セキュリティニュースアラート
Veeam Softwareは、Veeam Backup&Replicationの重大な脆弱性(CVE-2025-23120)を発表した。リモートコード実行を可能にする脆弱性とされ、ユーザーに緊急のアップデートが推奨される。
Veeam Softwareは2025年3月19日(現地時間)、バックアップ・レプリケーション製品「Veeam Backup&Replication」に重大な脆弱(ぜいじゃく)性が存在することを発表した。
この脆弱性が悪用された場合、リモートコード実行が可能とされている。
Veeamのバックアップ製品に深刻な脆弱性 リモートコード実行のリスク
発表されたCVE情報は以下の通りだ。
- CVE-2025-23120: リモートコード実行の脆弱性。watchTowr Labsのセキュリティ研究者により発見された欠陥とされ、認証済みのドメインユーザーに対してリモートコード実行を許してしまう。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.9で深刻度「緊急」(Critical)と評価されており注意が必要
脆弱性の影響を受けるバージョンは以下の通りだ。
- Veeam Backup&Replication 12.3.0.310およびこれ以前の全てのバージョン12のビルド
脆弱性が修正されたバージョンは以下の通りだ。
- Veeam Backup&Replication 12.3.1(ビルド12.3.1.1139)およびこれ以降のバージョン
Veeam Backup&Replication 12.3(ビルド12.3.0.310)を使用しているユーザー向けに一時的な対策として適用可能なホットフィックスが提供されている。ただしこれは他のホットフィックスが適用されていない環境でのみ使用可能で、事前の確認が必要となる。もし別のホットフィックスが既に導入されている場合、このホットフィックスは適用できない。その場合、直接バージョン12.3.1へのアップグレードが求められる。
今回の脆弱性発表に伴い、攻撃者がパッチをリバースエンジニアリングして未修正の環境を標的とする可能性がある。さらにセキュリティ研究者によるPoC(概念実証)が公開されることが予想される。
Veeam Softwareは影響を受ける全てのユーザーに対し、迅速に最新バージョンにアップグレードを実施するよう推奨している。深刻度が極めて高い脆弱性であるため、該当する製品を使用している場合、セキュリティアドバイザーの内容をよく確認するとともに、必要に応じてアップデートを適用することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
なぜ医療機関はランサム対策に乗り出せない? 地方病院が語る“根深い課題”
医療機関を標的にしたランサムウェア攻撃が激化している。これに対して多くの病院は危機感を覚えているが、そう簡単に対策を講じられないのは業界特有の“根深い問題”が関係している。地方病院の生々しいセキュリティ実態を明らかにしよう。
「C++」存続の危機? 生みの親が安全なプログラミング言語への転換を模索
C++の生みの親であるビャーネ・ストロヴストルップ氏はC++を安全にするためにコミュニティーの協力を呼びかけた。政府や企業は安全なプログラミング言語に移行しており、メモリ安全性の問題がC++の存続を脅かしている。
“あまりにもお粗末” 岡山県の病院で起きたランサム被害から得られる教訓
岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリティの実態”が包み隠さず明らかにされていますが、これを笑える人は一体どのくらいいるのでしょうか。
たったこれだけでマルウェアに感染? “古くて新しい”サイバー攻撃の手口
サイバー攻撃はこれまで見たこともなかった未知のものだけでなく、既に浸透している手法に少し手を加えてユーザーをだまそうとしています。今回は筆者が気になった古典的でありながら“新しい手口”を紹介します。