Am 17. Juni 2025 veröffentlichte Veeam ein wichtiges Sicherheitsupdate für Veeam Backup & Replication und den Veeam Agent for Microsoft Windows, mit dem mehrere kritische und hochriskante Schwachstellen behoben wurden. Diese Sicherheitslücken betreffen insbesondere Versionen bis einschließlich 12.3.1 (Backup & Replication) sowie Version 6.3.1 (Windows Agent). Das neue Update auf Veeam Backup & Replication 12.3.2 (Build 12.3.2.3617) und Veeam Agent for Microsoft Windows 6.3.2 (Build 6.3.2.1205) beseitigt sämtliche in diesem Zusammenhang gemeldeten Schwachstellen.
Kritische RCE-Schwachstelle (CVE-2025-23121)
Die gravierendste Schwachstelle ist unter CVE-2025-23121 registriert und erlaubt Remote Code Execution (RCE) auf dem Backup-Server durch einen authentifizierten Domain-Nutzer. Diese Lücke weist mit einem CVSS v3.0 Score von 9.9 einen kritischen Schweregrad auf. Besonders relevant ist, dass diese Schwachstelle nur auf domain-gebundenen Backup-Servern ausgenutzt werden kann – Systeme, die nicht in einer Active Directory-Domäne betrieben werden, sind nicht betroffen.
Rechteeskalation durch Backup Operator (CVE-2025-24286)
Die zweite Schwachstelle betrifft die Rollen- und Berechtigungsverwaltung in Veeam. Über CVE-2025-24286 kann ein Nutzer mit der Rolle Backup Operator seine Rechte missbrauchen, um Backup-Jobs so zu manipulieren, dass dabei beliebiger Code ausgeführt werden kann. Diese Lücke erhält einen CVSS v3.1 Score von 7.2 und wird als „hoch“ eingestuft. Sie wurde von Nikolai Skliarenko in Zusammenarbeit mit Trend Micro gemeldet.
Auch hier sind alle Builds bis einschließlich 12.3.1.1139 betroffen. Die Absicherung erfolgt mit der Aktualisierung auf Version 12.3.2.
Lokale Rechteeskalation durch Dateisystem-Manipulation (CVE-2025-24287)
Die dritte Schwachstelle betrifft den Veeam Agent for Microsoft Windows. Hier kann ein lokaler Nutzer durch das Ändern von Verzeichnisinhalten Code mit erhöhten Rechten ausführen. Dieser Angriff – registriert unter CVE-2025-24287 – erfordert physischen oder Remote-Zugang zum Zielsystem. Die Schwachstelle wurde von CrisprXiang über das Trend Micro Zero Day Initiative-Programm eingereicht und mit einem CVSS v3.1 Score von 6.1 bewertet.
Betroffen ist die Version 6.3.1.1074 und alle früheren 6.x-Versionen. Die Behebung erfolgt mit dem Patch auf Version 6.3.2.1205.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: