Kritische Sicherheitslücken in Veeam Backup & Replication

Der Backup-Hersteller Veeam hat mehrere schwerwiegende Sicherheitslücken in seiner Backup-Lösung Veeam Backup & Replication geschlossen. Einige der entdeckten Schwachstellen werden als kritisch eingestuft und könnten es Angreifern ermöglichen, schädlichen Code auf Backup-Servern auszuführen. Administratoren sollten daher möglichst zeitnah Updates installieren.

Im Rahmen interner Sicherheitsanalysen sowie über Meldungen aus dem Bug-Bounty-Programm wurden verschiedene Sicherheitsprobleme identifiziert. Besonders kritisch sind zwei Schwachstellen, die es authentifizierten Domain-Benutzern erlauben können, Schadcode aus dem Netzwerk auf einem Backup-Server auszuführen (CVE-2026-21666 und CVE-2026-21667). Beide werden mit einem sehr hohen Risiko bewertet.

Darüber hinaus wurde eine weitere Sicherheitslücke entdeckt, durch die angemeldete Benutzer Zugriffsbeschränkungen umgehen und Dateien innerhalb von Backup-Repositories manipulieren könnten (CVE-2026-21668). Auf Windows-basierten Systemen besteht außerdem die Möglichkeit einer Rechteausweitung, wodurch Angreifer höhere Systemprivilegien erlangen könnten (CVE-2026-21672).

Diese Probleme wurden mit der Version 12.3.2.4465 behoben. Betroffen sind mehrere ältere Versionen der Software, darunter Version 12, 12.1, 12.2, 12.3 sowie 12.3.1.

Auch in der aktuellen Entwicklungsreihe von Veeam Backup & Replication wurden mehrere Schwachstellen beseitigt. Mit der Version 13.0.1.2067 wurden unter anderem Sicherheitsprobleme korrigiert, die es angemeldeten Domain-Benutzern ermöglichen könnten, schädlichen Code aus dem Netzwerk auf Backup-Servern auszuführen (CVE-2026-21669).

In High-Availability-Umgebungen kann eine weitere kritische Schwachstelle dazu führen, dass Benutzer mit Backup-Administratorrechten beliebigen Code ausführen können (CVE-2026-21671). Zusätzlich betrifft die bereits erwähnte Rechteausweitungslücke auch die Version-13-Reihe.

Eine weitere Schwachstelle erlaubt es Benutzern mit eingeschränkten Rechten, gespeicherte SSH-Zugangsdaten auszulesen (CVE-2026-21670).

Ein weiteres Problem betrifft sowohl die 12er- als auch die 13er-Versionen. Benutzer mit der Rolle „Backup Viewer“ könnten unter bestimmten Umständen Code aus dem Netzwerk ausführen – und zwar mit den Rechten des Datenbankbenutzers „postgres“ (CVE-2026-21708).

Neben den Sicherheitskorrekturen wurde auch eine technische Anpassung vorgenommen: Der Portbereich des Veeam Agent für Linux wurde vereinheitlicht und liegt nun im Bereich von 2500 bis 3000, um ihn an andere Veeam-Produkte anzupassen.

Keine bekannten Angriffe – dennoch Update empfohlen

Nach Angaben von Veeam wurden die Schwachstellen sowohl durch interne Tests als auch über das Bug-Bounty-Programm auf der Plattform HackerOne entdeckt. Der Hersteller weist darauf hin, dass derzeit keine öffentlich bekannten Angriffe existieren, die diese Sicherheitslücken aktiv ausnutzen.

Trotzdem sollten Unternehmen und Administratoren nicht zögern: Gerade bei Backup-Systemen können erfolgreiche Angriffe besonders kritisch sein, da sie die letzte Verteidigungslinie gegen Datenverlust oder Ransomware darstellen.

Wer Veeam Backup & Replication einsetzt, sollte die verfügbaren Updates zeitnah installieren, um mögliche Angriffsflächen zu schließen und die Sicherheit der Backup-Infrastruktur zu gewährleisten.