Veeam ha publicado actualizaciones de seguridad para abordar una falla
crítica que afecta a su software de Backup & Replication
y que podría provocar la ejecución remota de código.
Además,
IBM publicó correcciones para remediar dos errores críticos en su sistema
operativo AIX
que podrían permitir la ejecución de comandos.
«La vulnerabilidad en Veeam permite la ejecución remota de código (RCE) por
parte de usuarios de dominio autenticados»,
declaró la compañía
en un aviso publicado el miércoles. La vulnerabilidad, identificada como
CVE-2025-23120, tiene una puntuación CVSS de 9,9 sobre 10.0. Afecta a la
versión 12.3.0.310 y a todas las compilaciones anteriores a la versión 12.
El investigador de seguridad Piotr Bazydlo, de watchTowr, ha sido reconocido
por descubrir y reportar la falla, que
se ha resuelto en la versión 12.3.1 (compilación 12.3.1.1139).
Según Bazydlo y la investigadora Sina Kheirkhah, la vulnerabilidad
CVE-2025-23120
se origina en el manejo inconsistente del mecanismo de deserialización de
Veeam. Esto causa que una clase permitida (allowlisted) que puede ser
deserializada, abra el camino para una deserialización interna que implementa
un enfoque basado en una lista bloqueada (blocklist) para prevenir la
deserialización de datos considerados riesgosos por la compañía.
Esto también significa que un atacante podría aprovechar un dispositivo de
deserialización que no está en la lista negra (Veeam.Backup.EsxManager.xmlFrameworkDs y Veeam.Backup.Core.BackupSummary) para lograr la ejecución remota de
código. En resumen, el atacante puede usar la clase permitida para saltarse la
lista bloqueada y deserializar datos maliciosos
«Estas vulnerabilidades pueden ser explotadas por cualquier usuario que
pertenezca al grupo de usuarios locales en el host Windows de su servidor
Veeam»,
afirmaron los investigadores.
«Mejor aún: si ha unido su servidor al dominio, cualquier usuario del
dominio puede explotar estas vulnerabilidades».
El parche presentado por Veeam añade los dos dispositivos a la lista de
bloqueo existente, lo que significa que la solución podría volver a ser
susceptible a riesgos similares si se descubren otros dispositivos de
deserialización viables.
En el caso de IBM, la lista de errores afectan a las versiones 7.2 y 7.3 de AIX
y se detalla a continuación:
-
CVE-2024-56346 (puntuación CVSS: 10.0): Una vulnerabilidad de control
de acceso inadecuado que podría permitir a un atacante remoto ejecutar
comandos arbitrarios a través del servicio maestro NIM Nimesis de AIX. -
CVE-2024-56347 (puntuación CVSS: 9.6): Una vulnerabilidad de control
de acceso inadecuado que podría permitir a un atacante remoto ejecutar
comandos arbitrarios a través del mecanismo de protección SSL/TLS del
servicio Nimsh de AIX.
Si bien no hay evidencia de que ninguna de estas fallas críticas haya sido
explotada de forma activa, se recomienda a los usuarios que apliquen
rápidamente los parches necesarios para protegerse contra posibles amenazas.
Fuente:
THN