Hiervoor waarschuwt Watchtowr. De kwetsbaarheden zijn volgens het beveiligingsbedrijf terug te leiden naar een breder probleem in het deserialisatiemechanismen van Veeam. De onderzoekers hekelen het gebruik van een blacklist door Veeam voor het blokkeren van deserialisatieproblemen. Zij stellen dat het bedrijf juist een whitelist zou moeten hanteren.
“Als branche weten we dat ongecontroleerde deserialisatie altijd tot problemen leidt. Dit is waarom je altijd strenge controle moet implementeren op de klassen die worden gedeserialiseerd. Ideaal gezien zou dit een whitelist moeten zijn die alleen de deserialisatie van geselecteerde klassen toestaat. Hoewel de Veeam-oplossing in kwestie dit technisch gezien doet, leidt een van de toegestane klassen tot interne deserialisatie, die vervolgens een controle op basis van een blacklist implementeert”, schrijft het bedrijf.
Te koppelen aan eerder ontdekt lek
De ontdekte lekken (beide omschreven als CVE-2025-23120 zijn volgens Watchtowr te koppelen aan de in september 2024 ontdekte kwetsbaarheid CVE-2024-40711, waarmee eveneens op afstand code uitgevoerd kan worden. Ook wijst het bedrijf op een verband met CVE-2024-42455, die geauthenticeerde gebruikers de mogelijkheid geeft onveilige deserialisatie uit te buiten. Watchtowr waarschuwt dat kwaadwillenden dergelijke kwetsbaarheden relatief eenvoudig kunnen identificeren door de codebase van Veeam Backup & Replication te zoeken naar deserialisatiegadgets die niet op de blacklist zijn opgenomen. Het nam de proef op de som en ontdekte zo de twee kwetsbaarheden.De kwetsbaarheden zijn alleen uit te buiten indien een aanvaller zich succesvol weet te authenticeren. Watchtowr stelt echter dat de authenticatievereisten van Veeam Backup & Replication niet sterk zijn, waardoor de lekken desondanks een flink risico opleveren. De kwetsbaarheden zijn verholpen in Backup & Replication version 12.3.1.