### Kritische RCE-Schwachstelle in Veeam Backup & Replication entdeckt **Veeam** hat Sicherheitsupdates bereitgestellt, um eine schwerwiegende Sicherheitslücke in seinem Produkt **Backup & Replication (VBR)** zu beheben. Die Schwachstelle, die als **CVE-2026-44963** verfolgt wird, wurde vom Sicherheitsforscher **Sina Kheirkhah** von **WatchTowr** gemeldet und könnte die Ausführung von Remote-Code auf Domänen-verbundenen Backup-Servern ermöglichen. Die Lücke betrifft **Veeam Backup & Replication (VBR)** Versionen 12.3.2.4465 und alle früheren Version 12 Builds. Das kritische Problem wurde in Version 12.3.2.4854 behoben. Laut **Veeam**s Advisory ermöglicht die Schwachstelle "Remote Code Execution (RCE) auf dem Backup-Server durch einen authentifizierten Domänenbenutzer". Es ist wichtig zu beachten, dass **Veeam Backup & Replication** 13.x Builds aufgrund signifikanter architektonischer Änderungen nicht betroffen sind. ### Best Practices ignoriert: Das Risiko von Domänen-verbundenen Systemen Obwohl die Schwachstelle von jedem Domänenbenutzer mit geringen Rechten ausgenutzt werden kann, betrifft sie speziell **Veeam Backup & Replication**-Installationen, die mit einer Domäne verbunden sind. Diese Anforderung unterstreicht eine häufige Abweichung von **Veeam**s langjährigen Best Practices, die davon abraten, Backup-Server mit einer Windows-Domäne zu verbinden, um die Angriffsfläche zu minimieren. Leider haben viele Organisationen diese kritische Empfehlung übersehen und ihre Backup-Infrastruktur unbeabsichtigt dieser Art von Bedrohung ausgesetzt. Dieses Versäumnis bietet Angreifern einen klaren Weg, potenziell die Kontrolle über wichtige Datenwiederherstellungssysteme zu erlangen. ### Jetzt patchen: Das Rennen gegen Angreifer Obwohl derzeit keine Berichte über aktive Ausnutzung vorliegen, hat **Veeam** eine dringende Warnung herausgegeben, dass Angreifer wahrscheinlich mit dem Reverse-Engineering von Patches beginnen werden, sobald diese veröffentlicht werden. Diese Praxis ermöglicht es böswilligen Akteuren, schnell Exploits für ungepatchte Systeme zu entwickeln. "Diese Realität unterstreicht die entscheidende Bedeutung, sicherzustellen, dass alle Kunden die neuesten Versionen unserer Software verwenden und alle Updates und Patches unverzüglich installieren", betonte **Veeam**. Das Zeitfenster zwischen der Veröffentlichung eines Patches und der Entwicklung eines Exploits ist oft kurz, was schnelles Handeln zum Schutz sensibler Backup-Umgebungen unerlässlich macht. ### Veeam-Server: Ein Hauptziel für Ransomware **Veeam**-Produkte werden weithin eingesetzt, mit über 550.000 Kunden weltweit, darunter ein erheblicher Teil der Fortune 500 und Global 2000 Unternehmen. Diese breite Akzeptanz, gepaart mit der kritischen Rolle von Backup-Servern, macht sie zu einem attraktiven Ziel für Ransomware-Gruppen. Ransomware-Betreiber zielen häufig auf Backup-Server ab, um sensible Daten zu stehlen, die laterale Bewegung innerhalb kompromittierter Netzwerke zu erleichtern und Wiederherstellungsbemühungen durch Löschen oder Verschlüsseln von Backups zu sabotieren. Die **Cybersecurity and Infrastructure Security Agency (CISA)** hat zuvor vier **Veeam Backup & Replication**-Schwachstellen als aktiv ausgenutzt in Angriffen gekennzeichnet, die alle von Ransomware-Gruppen genutzt wurden. Zum Beispiel wurden im November 2024 Ransomware-Operationen wie **Akira**, **Fog** und **Frag** Berichten zufolge mit einer weiteren kritischen **VBR** RCE-Schwachstelle, **CVE-2024-40711**, bewaffnet. Bekannte Bedrohungsgruppen wie **FIN7** und die **Cuba**-Ransomware-Gang wurden ebenfalls mit Angriffen in Verbindung gebracht, die **VBR**-Sicherheitslücken ausnutzen. Angesichts dieser Geschichte stellt die neue **CVE-2026-44963**-Schwachstelle ein erhebliches Risiko dar, das Organisationen unverzüglich angehen müssen.