Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución de código arbitrario en Veeam Updater

Fecha de publicación 05/02/2025
Importancia
5 - Crítica
Recursos Afectados

Productos afectados de versiones actuales:

  • Veeam Backup para Salesforce versiones 3.1 y anteriores.

Productos afectados de versiones anteriores:

  • Veeam Backup para Nutanix AHV versiones 5.0 y 5.1
  • Veeam Backup para AWS versiones 6a y 7
  • Veeam Backup para Microsoft Azure versiones 5a y 6
  • Veeam Backup para Google Cloud versiones 4 y 5
  • Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization versiones 3, 4.0 y 4.1.

Las versiones superiores disponibles de los productos indicados no están afectadas por esta vulnerabilidad.

Descripción

Se ha detectado una vulnerabilidad crítica en el componente Veeam Updater de diferentes productos del fabricante. Una explotación exitosa de esta vulnerabilidad podría permitir ejecutar código arbitrario en los servidores de los dispositivos afectados.

Solución

Veeam ha proporcionado nuevas versiones del componente que resuelven esta vulnerabilidad, para ello es necesario realizar la actualización a la versión correspondiente de cada producto.

  • Veeam Backup para Salesforce actualizar a la versión 7.9.0.1124.
  • Veeam Backup para Nutanix AHV actualizar a la versión 9.0.0.1125.
  • Veeam Backup para AWS actualizar a la versión 9.0.0.
  • Veeam Backup para Microsoft Azure y Google Cloud actualizar a la versión 9.0.0.
  • Veeam Backup para Oracle Linux Virtualization Manager y Red Hat Virtualization actualizar a la versión 9.0.0.1127. 

Para más información sobre cómo actualizar el producto, es recomendable visitar el aviso oficial enlazado en la sección de referencias.

Mantener los equipos actualizados mejora la seguridad de tu empresa. Es importante realizar actualizaciones de manera periódica y, sobre todo, en casos de detección de vulnerabilidades por parte del fabricante, de esta manera se evitará tener brechas de seguridad en los equipos empresariales. Recuerda que es fundamental disponer de una planificación de actualizaciones y de copias de seguridad para garantizar la continuidad del negocio ante incidentes de seguridad.

Detalle

La vulnerabilidad detectada, clasificada con severidad crítica, afecta al componente Veeam Updater y podría permitir a los ciberdelincuentes utilizar técnicas de MITM (Man-in-the-Middle) para ejecutar código arbitrario en el servidor del dispositivo afectado con permisos de administrador.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).

Listado de referencias
VEEAM - Comunicado vulnerabilidad CVE-2025-23114
Etiquetas