### Falha Crítica de RCE Descoberta em Veeam Backup & Replication **Veeam** liberou atualizações de segurança para mitigar uma falha de segurança grave em seu produto **Backup & Replication (VBR)**. A vulnerabilidade, rastreada como **CVE-2026-44963**, foi reportada pelo pesquisador de segurança **Sina Kheirkhah** da **WatchTowr** e pode permitir a execução remota de código em servidores de backup integrados ao domínio. A falha afeta as versões 12.3.2.4465 do **Veeam Backup & Replication (VBR)** e todas as versões anteriores da linha 12. O problema crítico foi resolvido na versão 12.3.2.4854. De acordo com o aviso da **Veeam**, a vulnerabilidade permite "execução remota de código (RCE) no Servidor de Backup por um usuário autenticado no domínio". É importante notar que as builds 13.x do **Veeam Backup & Replication** não são afetadas devido a mudanças arquiteturais significativas. ### Melhores Práticas Ignoradas: O Risco de Servidores Integrados ao Domínio Embora a vulnerabilidade possa ser explorada por qualquer usuário de domínio com privilégios baixos, ela afeta especificamente instalações do **Veeam Backup & Replication** que estão integradas a um domínio. Este requisito destaca um desvio comum das melhores práticas de longa data da **Veeam**, que aconselham contra a integração de servidores de backup a um domínio Windows para minimizar a superfície de ataque. Infelizmente, muitas organizações ignoraram essa recomendação crítica, expondo inadvertidamente sua infraestrutura de backup a esse tipo de ameaça. Essa negligência fornece um caminho claro para que atacantes potencialmente ganhem controle sobre sistemas cruciais de recuperação de dados. ### Aplique o Patch Agora: A Corrida Contra os Atacantes Embora atualmente não haja relatos de exploração ativa, a **Veeam** emitiu um forte aviso de que os atacantes provavelmente começarão a fazer engenharia reversa dos patches assim que forem divulgados. Essa prática permite que atores maliciosos desenvolvam exploits para sistemas sem patch rapidamente. "Essa realidade ressalta a importância crítica de garantir que todos os clientes usem as versões mais recentes de nosso software e instalem todas as atualizações e patches sem demora", enfatizou a **Veeam**. A janela entre a liberação do patch e o desenvolvimento do exploit é frequentemente estreita, tornando a ação rápida essencial para proteger ambientes de backup sensíveis. ### Servidores Veeam: Um Alvo Principal para Ransomware Os produtos Veeam são amplamente utilizados, com mais de 550.000 clientes globalmente, incluindo uma parcela significativa de empresas Fortune 500 e Global 2000. Essa adoção generalizada, juntamente com o papel crítico dos servidores de backup, os torna um alvo atraente para grupos de ransomware. Operadores de ransomware frequentemente visam servidores de backup para roubar dados confidenciais, facilitar o movimento lateral dentro de redes comprometidas e sabotar esforços de recuperação, excluindo ou criptografando backups. A **Agência de Segurança Cibernética e de Infraestrutura (CISA)** já sinalizou quatro falhas do **Veeam Backup & Replication** como ativamente exploradas em ataques, todas as quais foram aproveitadas por grupos de ransomware. Por exemplo, em novembro de 2024, operações de ransomware como **Akira**, **Fog** e **Frag** foram relatadas como tendo armado outra falha crítica de RCE do **VBR**, **CVE-2024-40711**. Grupos notórios como **FIN7** e a gangue de ransomware **Cuba** também foram associados a ataques que exploram vulnerabilidades de segurança do **VBR**. Dado esse histórico, a nova falha **CVE-2026-44963** apresenta um risco significativo que as organizações devem abordar sem demora.