# CVE-2026-21668 > [!critical] RCE Crítico no Veeam Backup - Explorado em Campanhas de Ransomware > CVE-2026-21668 é uma vulnerabilidade crítica de execução remota de código não autenticado no Veeam Backup & Replication que está sendo ativamente explorada por grupos de ransomware para comprometer infraestruturas de backup e maximizar impacto operacional. ## Visão Geral CVE-2026-21668 é uma vulnerabilidade crítica (CVSS 9.8) no Veeam Backup & Replication, a solução de backup mais adotada em ambientes corporativos Windows. A falha permite execução remota de código sem autenticação prévia, bastando que o atacante tenha acesso de rede à porta de gerenciamento do servidor Veeam. A exploração bem-sucedida resulta em controle total do sistema de backup. O Veeam é um alvo estratégico de alto valor para grupos de ransomware: comprometer o servidor de backup impede a recuperação das vítimas, eliminando a principal defesa contra ataques de criptografia. Grupos como [[akira-ransomware|Akira]], [[blackcat-ransomware|BlackCat/ALPHV]] e outros atores de ransomware como serviço (RaaS) historicamente priorizam servidores de backup como primeiro alvo após acesso inicial, tornando CVE-2026-21668 extremamente crítica em contexto operacional. A campanha documentada em [[veeam-ransomware-exploitation-2026]] demonstra exploração ativa desta vulnerabilidade. A Veeam lançou versão 12.3.1 com correção em janeiro de 2026. Organizações que ainda executam versões afetadas devem tratar este patch como emergência — qualquer atraso expõe toda a estratégia de recuperação de desastres ao risco. > [!latam] Relevância para o Brasil > O Veeam Backup & Replication é amplamente adotado em empresas brasileiras dos setores financeiro, saúde e indústria. Grupos de ransomware com foco em LATAM, como os que operam o **RansomHub** e derivados do **LockBit**, exploram sistematicamente vulnerabilidades Veeam para comprometer capacidade de recuperação antes de acionar a criptografia massiva. ## Detecção e Defesa - Atualizar para Veeam Backup & Replication 12.3.1 imediatamente — [[m1051-update-software|M1051 Update Software]] - Isolar o servidor Veeam em VLAN dedicada; bloquear acesso externo à porta de gerenciamento — [[m1030-network-segmentation|M1030]] - Implementar autenticação MFA para acesso ao console Veeam — [[m1032-multi-factor-authentication|M1032]] - Monitorar conexões entrantes não autenticadas à porta de gerenciamento (9392/TCP) — [[t1190-exploit-public-facing-application|T1190]] - Manter cópias de backup offline/imutáveis seguindo regra 3-2-1-1 — [[m1053-data-backup|M1053]] - Auditar logs do Veeam para tentativas de acesso anômalas — [[t1078-valid-accounts|T1078]] ## Referências - [Veeam Security Bulletin 2026](https://www.veeam.com/kb4649) - [NVD - CVE-2026-21668](https://nvd.nist.gov/vuln/detail/CVE-2026-21668)