CVE-2025-23114: Man-In-The-Middle Schwachstellen in Veeam Backup Produkten

Veröffentlicht: 04. Februar 2025
Schweregrad: Kritisch (CVSS v3.1 Score: 9.0)

Die Sicherheitslücke CVE-2025-23114 in diversen Veeam Produkten, die es Angreifern ermöglicht, einen Man-in-the-Middle (MitM) Angriff durchzuführen. Dabei könnten sie beliebigen Code mit Administratorrechten auf betroffenen Systemen ausführen. Das betrifft vor allem ältere Versionen des Veeam Updater-Programms.

Veeam hat Updates veröffentlicht, die das Problem beheben. Wer eine betroffene Version nutzt, sollte das Updater-Programm sofort aktualisieren:

  • Veeam Backup for Salesforce: Version 7.9.0.1124
  • Veeam Backup for Nutanix AHV: Version 9.0.0.1125
  • Veeam Backup for AWS: Version 9.0.0.1126
  • Veeam Backup for Microsoft Azure: Version 9.0.0.1128
  • Veeam Backup for Google Cloud: Version 9.0.0.1128
  • Veeam Backup for Oracle Linux Virtualization Manager und Red Hat Virtualization: Version 9.0.0.1127

Related Posts

BSI zertifiziert erste SmartCard mit Post-Quanten-Kryptografie

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals eine SmartCard zertifiziert, die einen Post-Quanten-Kryptografischen (PQC) Algorithmus implementiert. Die Zertifizierung gemäß den Common Criteria (ISO/IEC 15408) wurde der Infineon Technologies AG für die Integration des Algorithmus ML-KEM auf einer SmartCard erteilt – ein weltweiter Meilenstein in der IT-Sicherheit.

Read More

Nokia untersucht möglichen Datenleck durch Drittanbieter

Der Telekommunikationsriese Nokia sieht sich derzeit mit der Behauptung konfrontiert, dass ein unbefugter Akteur den Source Code des Unternehmens gestohlen hat. Nach Angaben des IT-Sicherheitsportals BleepingComputer hat ein Hacker mit dem Pseudonym “IntelBroker” behauptet, Zugang zu Daten eines Drittanbieters erhalten zu haben, der in direkter Verbindung mit Nokia steht.

Read More

Neue Ransomware-Bande erpresst die Deutsche Industrie- und Handelskammer (DIHK)

Eine bislang unbekannte Ransomware-Gruppe namens “PlayBoy” behauptet, Daten der Deutschen Industrie- und Handelskammer (DIHK) gestohlen zu haben. Die Bande hat eine Frist bis zum 5. November gesetzt und droht mit der Veröffentlichung der Daten, sollte kein Lösegeld gezahlt werden. Obwohl die DIHK den Vorfall offiziell nicht bestätigt hat, erklärte sie gegenüber csoonline.com, dass sie ihre Systeme überprüft und bislang keine Hinweise auf Datenabflüsse oder Sabotageakte vorliegen. Die Identität der PlayBoy-Gruppe bleibt weiterhin unbekannt.

Read More