Veeam Backup & Replication Üzerinden Kimlik Doğrulamalı Uzaktan Kod Çalıştırma Zafiyeti

CVE-2025-23121, Veeam Backup & Replication (VBR) ürününde keşfedilen ve domain ortamına dahil edilmiş (domain-joined) sistemlerde etkili olan kritik bir güvenlik açığıdır. Bu zafiyet, kimlik doğrulaması yapmış ancak ayrıcalıkları sınırlı bir domain kullanıcısının, VBR sunucusu üzerinde yetkisiz şekilde uzaktan kod çalıştırmasına (Remote Code Execution - RCE) olanak tanır.

Zafiyetin temel nedeni, Veeam Backup sunucusunun Windows domain entegrasyonu sırasında güvenlik sınırlarını yeterince izole edememesidir. Özellikle Veeam'in servisleriyle etkileşimde bulunan bileşenlerin, domain üzerinden kimlik doğrulaması yapıldığında belirli kontrol noktalarında kullanıcı girdilerine karşı savunmasız kalması durumu söz konusudur.

Saldırgan, önceden bir domain hesabına sahip olması (örneğin düşük yetkili bir servis veya kullanıcı hesabı) durumunda, bu açığı tetikleyerek VBR sunucusu üzerinde kendi komutlarını çalıştırabilir. Bu, aşağıdaki gibi senaryolarda büyük risk yaratır:

Backup verilerine yetkisiz erişim
Kritik yapılandırma dosyalarının değiştirilmesi
Fidye yazılımı (ransomware) yüklenmesi
Diğer ağ sistemlerine sıçrama (lateral movement)

Etkilenen Sistemler

Veeam Backup & Replication:
Tüm 12.x serisinin 12.3.1.1139 ve daha eski sürümleri, ayrıca resmi destek dışı eski sürümler.

Ayrıca bağlantılı olarak üç yama:

CVE‑2025‑24286 (CVSS 7.2) – yedek operatörü rolü kullanıcılarının RCE oluşturma izni
CVE‑2025‑24287 (CVSS 6.1) – Windows Agent üzerinden yerel yetki yükseltmesine yol açabilir.

IoC’ler

Çözüm Önerileri

Veeam Backup & Replication’i 12.3.2 build 12.3.2.3617 sürümüne yükseltilmesi gerekiyor.
Windows Agent ise 6.3.2 build 6.3.2.1205 sürümüne güncellenmesi gerekiyor.

CVE / CWE

CVE-2025-23121

Ek Bilgiler

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.

Güvenlik Zafiyet Bildirimleri

SolarWinds Serv-U Uzaktan Kod Çalıştırma Güvenlik Zafiyeti

21/07/2021

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyeti-34473

21/07/2021

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyeti-31206

21/07/2021

Kaseya VSA Ürünü Tedarik Zinciri Saldırısı

06/07/2021

CVE-2021-1675 PrintNightmare Zafiyeti

01/07/2021

VMware VCenter Uzaktan Kod Yürütme Güvenlik Zafiyeti

26/05/2021

Microsoft Exchange Server Uzaktan Kod Çalıştırma Güvenlik Zafiyetleri

14/04/2021

Mart 2021 Microsoft Exchange 0-Day Bildirimleri

03/03/2021

Spectre Zafiyeti Sömürüsü

03/03/2021

Masslogger Oltalama Kampanyası

19/02/2021

Solarwinds Raindrop Zararlısı

20/01/2021

Solarwinds Orion Api Kimlik Doğrulaması Atlatma Zafiyeti

28/12/2020

Solarwinds Sunburst Saldırı Kampanyası

22/12/2020

StrongPity Watering Hole

07/07/2020

Microsoft Smbv3 Compression Zafiyeti

11/03/2020

İSTANBUL

+90 216 504 53 30

+90 216 504 53 32

info@barikat.com.tr

Aydınevler Mahallesi,İsmet İnönü Cadddesi,Küçükyalı Ofis Park A Blok,No:20/1 Maltepe İstanbul

ANKARA

+90 312 235 44 41

+90 312 235 44 51

info@barikat.com.tr

Mustafa Kemal Mahallesi, Dumlupınar Bulvarı No:164, Kentpark Ofis, Kat:4 Daire:06 Çankaya, 06510 Ankara, Türkiye

AMSTERDAM

+90 216 504 53 30

+90 216 504 53 32

info@barikatbv.com

Millenium Tower Floor 29, Radarweg 29 1045 XN Amsterdam, Netherlands

ZAFİYET BÜLTENİ

Güvenlik zafiyetlerinden anlık haberdar olmak için ana sayfadaki bültenimize kayıt olabilirsiniz.

Veeam Backup & Replication Üzerinden Kimlik Doğrulamalı Uzaktan Kod Çalıştırma Zafiyeti