cve-2025-34025 - RunkIntel

# CVE-2025-34025 > [!high] RCE Autenticado no Veeam Backup & Replication > Vulnerabilidade de execução remota de código no Veeam Backup & Replication que requer autenticação mas é alvo frequente de grupos de ransomware que comprometem contas de backup para destruir recuperação e elevar impacto dos ataques. ## Visão Geral A [[cve-2025-34025|CVE-2025-34025]] afeta o **Veeam Backup & Replication**, solução líder de backup e recuperação de desastres amplamente utilizada em ambientes corporativos. A falha permite execução remota de código para usuários autenticados, representando um risco significativo em ambientes onde as credenciais do Veeam foram comprometidas - cenário comum após comprometimento inicial de redes. O Veeam é um alvo prioritário para grupos de ransomware: comprometer o sistema de backup antes de executar o ransomware garante que a organização não possa se recuperar sem pagar o resgate. Grupos como BlackCat/ALPHV, Conti e LockBit têm histórico de buscar e comprometer ativamente sistemas Veeam em suas campanhas. Após comprometimento de uma conta do Veeam, esta CVE pode ser usada para executar código malicioso no servidor de backup. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | RCE autenticado | | Componente | Veeam Backup & Replication - serviço de gerenciamento | | Vetor | Rede - requer autenticação | | Impacto | Execução de código + potencial destruição de backups | | Risco contextual | Alto - backups são alvo primário de ransomware | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1078-valid-accounts\|T1078]] | Credenciais Veeam comprometidas pré-exploração | | [[t1490-inhibit-system-recovery\|T1490]] | Destruição/criptografia dos backups | | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware pós-comprometimento do backup | | [[t1059-001-powershell\|T1059.001]] | Execução de comandos via Veeam | ## Detecção e Defesa **Mitigações:** - Atualizar Veeam Backup & Replication para versão 12.3.1 ou superior - [[m1051-update-software\|M1051]] - Patch urgente do Veeam - [[m1026-privileged-account-management\|M1026]] - Contas Veeam com MFA obrigatório - [[m1022-restrict-file-and-directory-permissions\|M1022]] - Isolar servidor de backup em VLAN dedicada - Implementar backup imutável (immutable backups) para proteger contra criptografia > [!latam] Relevância para Brasil e LATAM > O Veeam é a solução de backup dominante em PMEs e grandes empresas brasileiras. Campanhas de ransomware direcionadas ao Brasil frequentemente buscam comprometer o Veeam como passo crítico antes da execução do payload final, garantindo que a organização não possa se recuperar sem pagar. A proteção do sistema de backup é componente crítico de resiliência cibernética para organizações brasileiras. ## Referências - [Veeam Security Advisory KB4649](https://www.veeam.com/kb4649) - [NVD - CVE-2025-34025](https://nvd.nist.gov/vuln/detail/CVE-2025-34025)