Celah Keamanan Baru Veeam Buka Risiko Serangan RCE pada Server Backup

Veeam merilis pembaruan keamanan untuk menambal sejumlah celah serius pada perangkat lunak Backup & Replication (VBR), termasuk satu kerentanan kritis yang memungkinkan terjadinya remote code execution (RCE). Celah ini berpotensi membuka akses tidak sah ke server backup, yang selama ini menjadi target bernilai tinggi dalam berbagai serangan siber.

Kerentanan RCE tersebut dilacak dengan kode CVE-2025-59470 dan berdampak pada Veeam Backup & Replication versi 13.0.1.180 serta seluruh rilis versi 13 sebelumnya. Dalam penjelasan resminya, Veeam menyatakan bahwa celah ini memungkinkan pengguna dengan peran Backup Operator atau Tape Operator menjalankan kode berbahaya dari jarak jauh sebagai pengguna postgres. Eksploitasi dapat dilakukan dengan mengirimkan parameter interval atau order yang telah dimanipulasi secara khusus.

Meski pada awalnya dikategorikan sebagai kerentanan kritis, Veeam kemudian menyesuaikan tingkat keparahannya menjadi tinggi. Penyesuaian ini dilakukan karena eksploitasi hanya dapat dilakukan oleh akun dengan peran Backup atau Tape Operator, yang secara inheren merupakan peran dengan hak akses tinggi. Veeam menegaskan bahwa peran tersebut seharusnya dilindungi secara ketat, dan penerapan panduan keamanan resmi perusahaan dapat semakin menekan peluang eksploitasi.

Untuk mengatasi masalah ini, Veeam merilis versi 13.0.1.1071 pada 6 Januari. Pembaruan ini tidak hanya menambal CVE-2025-59470, tetapi juga dua celah lain dengan tingkat keparahan tinggi dan menengah. Salah satu celah memungkinkan operator berbahaya memperoleh RCE melalui pembuatan file konfigurasi backup yang dimodifikasi, sementara celah lainnya dapat dieksploitasi melalui parameter kata sandi yang dirancang secara berbahaya.

Perangkat lunak Veeam Backup & Replication sendiri banyak digunakan di lingkungan perusahaan untuk membuat salinan data dan aplikasi penting, sehingga dapat dipulihkan dengan cepat setelah serangan siber, kegagalan perangkat keras, atau bencana. Popularitas ini menjadikan server VBR sebagai aset krusial, sekaligus sasaran empuk bagi pelaku kejahatan siber.

Dalam beberapa tahun terakhir, server VBR kerap menjadi target utama kelompok ransomware. Perangkat ini dapat dimanfaatkan sebagai titik awal untuk pergerakan lateral di dalam jaringan korban. Bahkan, sejumlah kelompok ransomware secara terbuka mengakui bahwa mereka selalu menargetkan server Veeam karena akses tersebut mempermudah pencurian data dan memungkinkan penghapusan cadangan sebelum ransomware dijalankan, sehingga upaya pemulihan menjadi jauh lebih sulit.

Sejumlah insiden sebelumnya juga mengaitkan eksploitasi celah VBR dengan berbagai kelompok ancaman. Serangan yang menargetkan kerentanan Veeam pernah dikaitkan dengan kelompok ransomware Cuba serta grup FIN7 yang bermotif finansial dan memiliki riwayat kolaborasi dengan beberapa geng ransomware besar. Pada akhir 2024, peneliti keamanan juga mengungkap bahwa kerentanan VBR lainnya dieksploitasi dalam serangan ransomware Frag, serta digunakan dalam kampanye Akira dan Fog yang menargetkan server backup Veeam yang belum diperbarui.

Dengan basis pengguna yang melampaui 550.000 organisasi di seluruh dunia, termasuk mayoritas perusahaan besar global, temuan celah keamanan ini menjadi pengingat pentingnya menjaga sistem backup tetap diperbarui. Bagi organisasi, penerapan patch terbaru dan pengamanan ketat terhadap akun berprivilege tinggi menjadi langkah krusial untuk mencegah penyalahgunaan server backup sebagai pintu masuk serangan yang lebih luas.