Celah Kritis Baru Veeam Backup & Replication Ancam Server Cadangan dengan Rencana RCE

Perusahaan penyedia solusi manajemen data terkemuka, Veeam, resmi merilis pembaruan keamanan darurat untuk menambal celah keamanan (vulnerability) berkategori kritis pada software Veeam Backup & Replication (VBR). Jika berhasil dieksploitasi, celah ini memungkinkan pengguna domain dengan hak akses rendah sekalipun untuk mengeksekusi kode jarak jauh (Remote Code Execution / RCE) dan menguasai server cadangan yang terhubung dalam jaringan domain perusahaan.

Kerentanan kritis ini dilacak dengan kode CVE-2026-44963 dan ditemukan oleh Sina Kheirkhah, seorang peneliti keamanan dari firma WatchTowr.

1. Ruang Lingkup dan Batasan Dampak CVE-2026-44963

Berdasarkan penasihat keamanan resmi yang dirilis oleh Veeam, berikut adalah detail spesifikasi teknis dan ekosistem yang terdampak:

• Versi yang Rentan: Celah ini menjangkau produk Veeam Backup & Replication versi 12.3.2.4465 serta seluruh versi binaan (build) 12 terdahulu.
• Versi yang Aman (Patch): Masalah ini telah diperbaiki secara penuh pada pembaruan VBR versi 12.3.2.4854.
• Kebal pada Versi 13: Veeam memastikan bahwa seluruh lini produk VBR versi 13.x tidak terdampak sama sekali oleh bug ini karena adanya perombakan arsitektur sistem (architectural changes) mendasar sejak awal pengembangan versi 13.
• Kondisi Khusus Eksploitasi: Serangan ini hanya akan berdampak dan bekerja jika instalasi server Veeam Backup & Replication Anda terhubung ke dalam sebuah Windows Domain (Domain-Joined).

Abaikan Praktik Terbaik (Best Practices):

Pihak Veeam menyayangkan fakta di lapangan di mana masih banyak perusahaan yang nekat menyambungkan server cadangan Veeam mereka ke dalam jaringan domain utama Windows. Langkah tersebut mengabaikan rekomendasi keamanan baku dari Veeam yang melarang keras penggabungan server backup ke domain guna menghindari skenario runtuhnya seluruh benteng pertahanan ketika domain utama berhasil dikompromikan peretas.

2. Mengapa Server Backup Menjadi Target Utama Geng Ransomware?

Meskipun saat ini belum ada laporan mengenai eksploitasi aktif CVE-2026-44963 di dunia nyata, Veeam memperingatkan bahwa kelompok penjahat siber biasanya akan langsung melakukan teknik reverse-engineering terhadap dokumen patch yang baru dirilis untuk menciptakan kode serangan (exploit code).

Dalam catatan sejarah siber, server cadangan Veeam merupakan “piala luhur” yang paling diincar oleh kelompok ransomware terorganisir karena beberapa alasan krusial:

• Mematikan Jalur Pemulihan: Dengan menguasai server Veeam, peretas bisa menghapus atau mengenkripsi file cadangan (backups), memaksa korban untuk membayar tebusan karena tidak memiliki opsi pemulihan data independen.
• Titik Lompatan Jaringan: Membuka jalan bagi peretas untuk bergerak secara lateral (lateral movement) guna menyusup ke komputer atau server krusial lainnya di dalam jaringan internal perusahaan.

Badan Siber AS (CISA) tercatat telah memasukkan empat celah keamanan VBR terdahulu ke dalam katalog eksploitasi aktif. Sebagai contoh, pada akhir tahun 2024, geng ransomware seperti Akira, Fog, dan Frag terbukti mengeksploitasi celah VBR RCE (CVE-2024-40711). Kelompok bermotif finansial kelas berat seperti FIN7 (yang beraliansi dengan BlackBasta, Conti, REvil) serta geng ransomware Cuba juga memiliki rekam jejak panjang dalam mengeksploitasi kerentanan produk Veeam.

Langkah Penanganan untuk Tim Keamanan IT

Mengingat solusi perlindungan data Veeam dipercaya oleh lebih dari 550.000 korporasi global—termasuk 82% dari daftar perusahaan Fortune 500—administrator jaringan diimbau untuk segera menerapkan langkah-langkah penyelamatan berikut:

1. Lakukan Update Segera: Lakukan migrasi atau instalasi patch firmware VBR ke versi 12.3.2.4854 atau langsung melakukan peningkatan (upgrade) ke ekosistem Veeam versi 13.x.
2. Lepaskan Server Veeam dari Domain: Evaluasi kembali arsitektur jaringan Anda. Sejalan dengan best practices dari vendor, isolasi server cadangan Veeam Anda dari Windows Domain utama dan tempatkan di dalam kelompok kerja (workgroup) terpisah yang aman dengan otentikasi ketat.

Sumber: Penasihat Keamanan Resmi Veeam Software / Laporan Kerentanan WatchTowr