Veeam Backup tizimida kritik zaiflik: hujumchilar root darajasida tizimni egallashi mumkin

Zaxira nusxalarini yaratish va ma’lumotlarni tiklash tizimlari korporativ infratuzilmaning eng muhim bo‘g‘inlaridan biri hisoblanadi. Aynan shu sababli ulardagi har qanday xavfsizlik nuqsoni butun tashkilot uchun jiddiy oqibatlarga olib kelishi mumkin. 2026-yil boshida Veeam Backup & Replication (VBR) 13 mahsulotida aniqlangan bir qator zaifliklar ushbu haqiqatni yana bir bor tasdiqladi.

Veeam Software tomonidan e’lon qilingan ma’lumotlarga ko‘ra, to‘rtta muhim xavfsizlik zaifligi hujumchilarga zaxira tizimlarida root darajasida kod bajarish imkonini berishi mumkin. Ushbu kamchiliklar kompaniyaning ichki xavfsizlik sinovlari jarayonida aniqlangan va 2026-yil 6-yanvarda chiqarilgan 13.0.1.1071 build versiyasida bartaraf etilgan.

Eng xavfli zaifliklar mohiyati

Aniqlangan zaifliklar asosan operator va administrator rollari bilan bog‘liq bo‘lib, aynan ushbu rollar yirik tashkilotlarda kundalik boshqaruv jarayonlarida faol qo‘llaniladi. Bu esa tahdid darajasini yanada oshiradi.

Eng jiddiy muammo — CVE-2025-55125 bo‘lib, u Backup yoki Tape Operator’larga maxsus tayyorlangan zaxira konfiguratsiya fayli orqali root huquqida masofaviy kod bajarish (RCE) imkonini beradi. Ushbu zaiflik CVSS 7.2 (High) ball bilan baholangan bo‘lsa-da, real muhitda u to‘liq tizim nazoratiga olib kelishi mumkin.

Yana bir xavfli zaiflik — CVE-2025-59470 bo‘lib, u noto‘g‘ri qayta ishlangan interval yoki order parametrlaridan foydalanib, PostgreSQL foydalanuvchisi nomidan ixtiyoriy kod bajarish imkonini beradi. Texnik jihatdan bu zaiflik Critical (CVSS 9.0) darajasiga ega bo‘lsa-da, Veeam rolga asoslangan kirish nazorati sababli uni amaliy jihatdan “High” sifatida baholagan.

Qo‘shimcha aniqlangan zaifliklar

Bundan tashqari, quyidagi kamchiliklar ham qayd etilgan:

  • CVE-2025-59469 — operatorlarga root huquqi bilan ixtiyoriy fayl yozish imkonini beradi. Bu esa konfiguratsiya yoki ishga tushirish fayllarini o‘zgartirish orqali hujumni chuqurlashtirishga zamin yaratadi.
  • CVE-2025-59468 — backup administratorlariga noto‘g‘ri tekshirilgan password parametri orqali PostgreSQL foydalanuvchisi sifatida RCE amalga oshirish imkonini beradi (CVSS 6.7, Medium).

Mazkur zaifliklar:

  • Veeam Backup & Replication 13.0.1.180 va undan oldingi 13-versiya buildlariga ta’sir qiladi.
  • 12.x va undan oldingi versiyalar ushbu muammolardan ta’sirlanmagan.

Eng xavotirli jihat shundaki, ushbu zaifliklar zaxira tizimlarini boshqarish uchun keng tarqalgan privilegiyalangan rollarni nishonga oladi. Amaliyotda esa hujumchilar ko‘pincha yangilanishlar e’lon qilingach, patch’larni tahlil qilib, yangilanmagan tizimlarga hujum qilishni tezlashtiradi.

Himoya choralar va tavsiyalar

Veeam barcha tashkilotlarga quyidagi choralarni zudlik bilan ko‘rishni tavsiya qiladi:

  • VBR 13.0.1.1071 yoki undan yuqori versiyaga darhol yangilash;
  • Operator va administrator rollarini faqat ishonchli xodimlarga biriktirish;
  • Rolga asoslangan kirish siyosatini qayta ko‘rib chiqish;
  • Zaxira infratuzilmasini alohida segmentga ajratish (network segmentation);
  • Kuchli autentifikatsiya va monitoring mexanizmlarini joriy etish;
  • Veeam Security Guidelines’ga qat’iy rioya qilish.

Zaxira tizimlari ko‘pincha hujumchilar e’tiboridan chetda qoladigan, ammo muvaffaqiyatli hujum amalga oshirilganda butun infratuzilmani tiklash imkoniyatini yo‘qqa chiqaruvchi muhim nishondir. Veeam Backup & Replication’dagi ushbu zaifliklar shuni ko‘rsatadiki, hatto ishonchli va keng qo‘llaniladigan yechimlar ham muntazam yangilanish va qat’iy xavfsizlik nazoratisiz xavf manbaiga aylanishi mumkin.

Shu bois, tashkilotlar uchun eng to‘g‘ri yondashuv — tezkor patchlash, minimal huquqlar tamoyili va qatlamli himoyani birgalikda qo‘llashdir. Aks holda, bitta e’tiborsiz qoldirilgan backup server butun kompaniya xavfsizligini xavf ostiga qo‘yishi mumkin.