# CVE-2026-21667 - Veeam Backup & Replication RCE via Backup Server (v12) > CVSS: 9.9 - EPSS: pendente - Vendor: Veeam - Patch: Sim (12.3.2.4465) - CISA KEV: Não ## Resumo **CVE-2026-21667** é a segunda vulnerabilidade crítica de RCE no [[_veeam|Veeam]] Backup & Replication v12, descoberta durante testes internos da Veeam. Assim como a [[cve-2026-21666|CVE-2026-21666]], permite que um usuário autenticado do domínio execute código arbitrário no Backup Server. A vulnerabilidade foi corrigida na versão 12.3.2.4465, públicada em 12 de março de 2026. O vetor de ataque é idêntico - autenticação de domínio com baixo privilégio é suficiente para exploração remota. **Pontuação de risco:** - CVSS v3.1: **9.9** (Crítico) - Vetor: Rede, baixa complexidade, privilégios baixos - CISA KEV: não listado - Exploit público: não confirmado ## Impacto Técnico - **Execução de código remoto:** comandos arbitrários no Backup Server - **Acesso a credenciais:** credenciais de hypervisors e storage armazenadas no Veeam - **Destruição de backups:** possibilidade de eliminar todas as cópias de recuperação - **Pivô para infraestrutura:** acesso a vSphere, Hyper-V e storage via credenciais Veeam **Impacto para organizações LATAM/Brasil:** Parte do cluster de 4 CVEs críticas (CVSS 9.9) divulgadas simultaneamente. Organizações brasileiras que utilizam Veeam devem tratar como emergência, especialmente nos setores [[financial|financeiro]] e [[critical-infrastructure|infraestrutura crítica]]. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | [[_veeam\|Veeam]] | Backup & Replication v12 | <= 12.3.2.4165 | 12.3.2.4465 | ## Patch e Mitigação **Patch oficial:** - Advisory: [Veeam KB4830](https://www.veeam.com/kb4830) - Versão corrigida: 12.3.2.4465 - Data: 2026-03-12 **Mitigações temporárias:** - Isolar o Backup Server do domínio AD de produção - Restringir acesso de rede ao Backup Server - Monitorar logs de autenticação no serviço Veeam ## Exploração Ativa **Status atual:** sem exploração ativa confirmada individualmente, mas parte do cluster explorado na campanha [[veeam-ransomware-exploitation-2026]]. **Contexto:** A Veeam alertou que atacantes fazem reverse-engineering de patches rapidamente. O precedente de 2024 (CVE-2024-40711 weaponizada em dias) demonstra a urgência. ## CISA KEV Esta vulnerabilidade **não está listada** no CISA KEV Catalog. Monitorar atualizações. ## Notas Relacionadas **CVEs relacionados:** [[cve-2026-21666|CVE-2026-21666]] - [[cve-2026-21669|CVE-2026-21669]] - [[cve-2026-21708|CVE-2026-21708]] **Campanhas:** [[veeam-ransomware-exploitation-2026]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190]] - [[t1490-inhibit-system-recovery|T1490]] - [[t1078-valid-accounts|T1078]] **Setores em risco:** [[financial|financeiro]] - [[critical-infrastructure|infraestrutura crítica]]