Het Nationale Cyber Security Centrum (NCSC) heeft onlangs een kwetsbaarheid in Veeam software geïdentificeerd en verholpen. Deze kwetsbaarheid, die zich bevindt in de Veeam Updater-component, betreft de inadequate validatie van TLS-certificaten. Dit gebrek aan validatie kan mogelijk exploitatie toestaan door een Man-in-the-Middle-aanvaller die daardoor in staat zou kunnen zijn om ongeautoriseerde code uit te voeren op getroffen servers. Dit kan tot gevolg hebben dat aanvallers ongeoorloofde toegang verkrijgen en serveroperaties kunnen manipuleren.

Samenvatting van de Kwetsbaarheid

• Kwetsbaarheidstype: Onjuiste neutralisatie van invoer tijdens de generatie van webpagina’s, ook bekend als ‘Cross-site Scripting’.
• Ongeldig Valideren van TLS-certificaten: De Veeam Updater-component controleerde eerder niet adequaat op de authenticiteit van TLS-certificaten, wat mogelijkheden bood voor Man-in-the-Middle-aanvallen.
• Risico-inventarisatie:
  • Kans: Medium
  • Schade: Hoog
• CVE-Referentie: CVE-2025-23114

Getroffen Producten

De kwetsbaarheid komt voor in verschillende Veeam Backup-producten, zoals:

• Veeam Backup voor AWS
• Veeam Backup voor Google Cloud
• Veeam Backup voor Microsoft Azure
• Veeam Backup voor Nutanix AHV
• Veeam Backup voor Oracle Linux Virtualization Manager en Red Hat Virtualization
• Veeam Backup voor Salesforce

Oplossingen

Veeam heeft reeds updates uitgebracht die deze kwetsbaarheid aanpakken. Gebruikers wordt sterk aangeraden om de nieuwste updates te installeren om de veiligheid van hun systemen te waarborgen. Meer informatie over de updates kan worden gevonden via de Veeam Knowledge Base.

Belangrijke Opmerkingen

Bij het gebruik van deze informatie zijn enkele aspecten van belang:

• Deze advisory is bedoeld als algemene informatie voor professioneel gebruik.
• Het NCSC kan niet garant staan voor de volledigheid of nauwkeurigheid van de informatie. Men dient hier zelf kritische controle op uit te oefenen.
• Eventuele schade voortvloeiend uit het gebruik van deze melding is op eigen risico.
• Op deze melding is het Nederlands recht van toepassing, met exclusieve jurisdictie voor de rechtbank in Den Haag.

Door alert te blijven op updates en te zorgen voor tijdige implementatie van patches, kunnen organisaties potentiële veiligheidsrisico’s minimaliseren.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----