Perusahaan perlindungan data, Veeam Software, merilis pembaruan keamanan penting untuk solusi Veeam Backup & Replication (VBR) setelah ditemukannya sejumlah kerentanan serius, termasuk empat celah kritis yang memungkinkan serangan remote code execution (RCE) pada server cadangan.
Veeam Backup & Replication merupakan perangkat lunak backup tingkat enterprise yang digunakan oleh administrator TI untuk membuat salinan data penting. Sistem ini dirancang agar organisasi dapat dengan cepat memulihkan data setelah terjadi serangan siber, kegagalan perangkat keras, maupun insiden lainnya yang menyebabkan kehilangan data.
Namun, kerentanan yang baru ditemukan ini berpotensi dimanfaatkan oleh penyerang untuk mengambil alih sistem yang menjalankan layanan backup tersebut.
Empat Kerentanan RCE Berisiko Tinggi
Dalam pembaruan keamanan terbaru, Veeam menambal tiga celah RCE yang teridentifikasi sebagai CVE-2026-21666, CVE-2026-21667, dan CVE-2026-21669. Ketiga kerentanan ini memungkinkan pengguna domain dengan hak akses rendah menjalankan kode berbahaya dari jarak jauh pada server backup yang rentan.
Serangan tersebut dinilai memiliki tingkat kompleksitas rendah, sehingga relatif mudah dimanfaatkan jika sistem tidak segera diperbarui.
Selain itu, ditemukan pula satu celah kritis lain dengan kode CVE-2026-21708 yang memungkinkan pengguna dengan peran Backup Viewer memperoleh kemampuan eksekusi kode jarak jauh dengan hak akses sebagai pengguna postgres.
Jika dimanfaatkan, kerentanan tersebut dapat memberikan kontrol signifikan terhadap server backup.
Bug Keamanan Lain Juga Diperbaiki
Tidak hanya celah RCE, Veeam juga memperbaiki sejumlah kerentanan tingkat tinggi lainnya yang berpotensi dimanfaatkan untuk:
- Meningkatkan hak akses pada server Veeam Backup & Replication berbasis Windows
- Mengekstrak kredensial SSH yang tersimpan di sistem
- Melewati pembatasan akses untuk memodifikasi file secara arbitrer pada Backup Repository
Kerentanan-kerentanan ini ditemukan melalui pengujian internal serta laporan dari peneliti keamanan melalui program bug bounty.
Seluruh masalah keamanan tersebut telah diperbaiki pada Veeam Backup & Replication versi 12.3.2.4465 dan 13.0.1.2067.
Administrator Diminta Segera Memperbarui Sistem
Veeam menegaskan pentingnya bagi administrator sistem untuk segera melakukan pembaruan perangkat lunak ke versi terbaru. Hal ini karena pelaku ancaman biasanya mulai mengembangkan eksploitasi baru segera setelah patch keamanan dirilis.
Ketika detail kerentanan dan patch dipublikasikan, penyerang dapat melakukan reverse engineering terhadap pembaruan tersebut untuk menemukan cara menyerang sistem yang belum diperbarui.
Karena itu, organisasi disarankan untuk memastikan seluruh deployment Veeam menggunakan versi terbaru serta menginstal seluruh patch keamanan tanpa penundaan.
Server Backup Kerap Jadi Target Ransomware
Server yang menjalankan Veeam Backup & Replication kerap menjadi target utama kelompok ransomware. Hal ini karena sistem backup sering kali menyimpan salinan data penting organisasi.
Dengan mengakses server backup, penyerang dapat melakukan pergerakan lateral di dalam jaringan yang telah ditembus, mencuri data sensitif, hingga menghapus backup korban untuk menggagalkan proses pemulihan.
Sejumlah kelompok kejahatan siber diketahui pernah mengeksploitasi kerentanan pada VBR. Kelompok FIN7, yang memiliki keterkaitan dengan berbagai operasi ransomware besar, serta geng ransomware Cuba pernah dikaitkan dengan serangan yang memanfaatkan celah keamanan Veeam.
Insiden lain juga menunjukkan bahwa kerentanan VBR pernah dimanfaatkan dalam serangan ransomware Frag, serta operasi yang melibatkan varian ransomware Akira dan Fog.
Saat ini, produk Veeam digunakan oleh lebih dari 550.000 pelanggan di seluruh dunia, termasuk sekitar 74 persen perusahaan dalam daftar Global 2000 serta 82 persen perusahaan Fortune 500.
Dengan skala penggunaan yang luas, kerentanan pada sistem backup seperti ini dapat menjadi ancaman serius bagi keamanan data organisasi apabila tidak segera ditangani.