Veeam Software ha publicado una actualización de seguridad para su plataforma Backup & Replication y para Veeam Agent for Microsoft Windows que corrige tres vulnerabilidades relevantes. Dos de ellas permiten ejecución remota de código (RCE) a un usuario de dominio autenticado y afectan a servidores de copia de seguridad unidos a dominio; la tercera posibilita elevación local de privilegios si un administrador restaura un fichero malicioso. La compañía advierte, además, de un hecho conocido en respuesta a incidentes: una vez que el fabricante divulga una vulnerabilidad y su parche, los atacantes intentarán invertir el parche para explotar instalaciones sin actualizar, por lo que urge desplegar las correcciones.
El parche de Veeam Backup & Replication 12.3.2.4165 resuelve las CVE-2025-48983 y CVE-2025-48984, ambas con puntuación CVSS 9,9 y clasificadas como críticas. Por su parte, Veeam Agent for Microsoft Windows corrige la CVE-2025-48982, con gravedad alta (CVSS 7,3), a partir del build 6.3.2.1302. Veeam subraya que su Software Appliance y la próxima versión 13 de Backup & Replication para Windows no están afectados por este tipo de vulnerabilidades.
Dos RCE críticas: qué son CVE-2025-48983 y CVE-2025-48984
La CVE-2025-48983 reside en el servicio Mount de Veeam Backup & Replication y puede permitir a un usuario de dominio autenticado ejecutar código de forma remota sobre hosts de la infraestructura de backup. La CVE-2025-48984, por su parte, permite RCE en el servidor principal de Backup bajo la misma premisa de usuario de dominio. En ambos casos la cadena de ataque no requiere interacción del usuario objetivo, el acceso es remoto y el impacto sobre confidencialidad, integridad y disponibilidad es alto; de ahí el CVSS 9,9.
Hay un matiz clave de arquitectura: estas dos vulnerabilidades impactan a servidores unidos a un dominio de Active Directory. Esto encaja con las recomendaciones históricas de endurecimiento para infraestructuras de respaldo: evitar atar el backup a los mismos dominios que protege o, al menos, aislarlo en un dominio de gestión separado o en workgroup, con controles reforzados de identidad.
Elevación local de privilegios: CVE-2025-48982 en el Agente para Windows
La CVE-2025-48982 afecta a Veeam Agent for Microsoft Windows y describe un escenario de elevación local de privilegios si un administrador restaura un archivo malicioso. El vector exige cierto engaño (ingeniería social o proceso de recuperación poco higiénico), pero, si se materializa, el atacante puede escalar privilegios en el sistema. El fallo queda corregido a partir del build 6.3.2.1302 del agente (incluido también dentro de Backup & Replication).
Qué versiones están afectadas y cuál es el estado del parche
Según la documentación de Veeam, las RCE CVE-2025-48983 y CVE-2025-48984 afectan a Veeam Backup & Replication 12.3.2.3617 y a todos los builds anteriores de la versión 12. La actualización 12.3.2.4165 solventa ambas. En paralelo, Veeam Agent for Microsoft Windows queda protegido a partir del build 6.3.2.1302. Veeam recuerda que versiones no soportadas no se testean, pero probablemente estén afectadas y deben tratarse como vulnerables hasta su actualización o sustitución.
Por qué este paquete es importante para CISOs y equipos de plataforma
El perfil de atacante que reflejan las dos RCE es el de usuario de dominio autenticado con acceso de red al servidor de backup o a servicios de la infraestructura de respaldo. En escenarios reales, eso equivale tanto a insiders maliciosos como a cuentas de dominio comprometidas (p. ej., por phishing, pass-the-hash, secretos en pipelines, etc.). Si el servidor de backup está unido al dominio de producción, la superficie de ataque y la velocidad de movimiento lateral aumentan. Por eso el endurecimiento de la segregación de identidades y redes del entorno de respaldo es tan relevante como parchear.
La tercera vulnerabilidad recuerda una verdad incómoda: restaurar sin higiene puede introducir malware con privilegios elevados. La seguridad del backup no termina al guardar copias: incluye validar contenido antes de reinyectarlo en producción y restringir quién puede restaurar qué y dónde.
Qué hacer ahora: plan de acción recomendado
- Inventario y versión
- Identificar todos los servidores de Veeam Backup & Replication y agentes desplegados (on-prem y remotos).
- Verificar la versión: si Backup & Replication es 12.3.2.3617 o anterior, planificar la actualización a 12.3.2.4165. Si el agente es anterior a 6.3.2.1302, actualizar.
- Ventanas de cambio y regresión
- Preparar backup de configuración y puntos de restauración del propio servidor Veeam antes de actualizar.
- Probar el parche en un entorno de preproducción cuando sea posible y tener plan de reversión.
- Aislamiento de dominio
- Revisar si el servidor de backup está unido al dominio de producción.
- Valorar su migración a un workgroup o a un dominio de gestión separado (idealmente en un bosque distinto), con MFA para cuentas administrativas y segmentación de red estricta.
- Controles de acceso y credenciales
- Principio de mínimo privilegio para servicios y operadores de backup.
- Rotar credenciales sensibles y auditar su uso.
- Revisar roles (p. ej., “Backup Operator”) y sesiones remotas habilitadas.
- Supervisión y contención
- Monitorizar conexiones al servicio Mount y al servidor de backup; activar alertas por intentos fallidos y accesos anómalos.
- Registrar hashes y firmas de ficheros restaurados cuando el caso lo requiera; si hay sospechas, sandbox previo.
- Higiene de restauraciones
- Establecer flujos de aprobación para restaurar ficheros procedentes de incidentes, fuentes externas o de origen desconocido.
- Integrar antimalware y/o escáneres en la tubería de restauración.
- Comunicación y pruebas
- Informar a stakeholders (TI, seguridad, cumplimiento) y documentar el cambio.
- Ejecutar una prueba de recuperación tras el parche para comprobar que RTO/RPO siguen dentro de objetivos.
Un apunte de arquitectura: por qué “dominio o workgroup” no da igual
La propia guía de mejores prácticas de seguridad de Veeam recomienda, para el máximo aislamiento, colocar los componentes de backup en un dominio de gestión independiente (en un bosque distinto) o en workgroup, y proteger las cuentas administrativas con MFA. El razonamiento es sencillo: el entorno que protege los activos críticos no debe depender (ni compartir plano de confianza) del entorno que protege. Esta familia de vulnerabilidades refuerza esa lógica: si un usuario de dominio puede convertirse en vector contra el servidor de backup, la separación hace la diferencia.
Qué no está afectado
Veeam indica que su Software Appliance y la próxima versión 13 de Backup & Replication para Windows no están afectadas “por su arquitectura” a este tipo de fallos. Para los equipos que planifican ciclos de renovación a medio plazo, es una señal a tener en cuenta en la hoja de ruta: además del parche inmediato, conviene evaluar opciones de arquitectura que reduzcan exposición.
¿Se han visto ataques “in the wild”?
En el momento de la publicación del parche, no hay confirmación pública de explotación activa de estas CVE concreta por parte del fabricante en el aviso que las divulga. Aun así, la experiencia del sector es clara: una vez liberado un parche, aumenta la probabilidad de que actores maliciosos traten de ingeniería inversa para buscar instalaciones sin actualizar. Es decir, el tiempo hasta aplicar la corrección importa.
Lectura para responsables de negocio
Más allá de lo técnico, el mensaje para dirección es pragmático: el servidor de copias es una joya de la corona. Si cae, complica o impide recuperar el negocio. Invertir en parcheo ágil, segmentación y aislamiento de identidades en el backup reduce el riesgo sistémico y acelera la respuesta ante incidentes. El coste de no hacerlo se mide en tiempo de inactividad, pérdida de datos y sanciones por incumplimientos.
Preguntas frecuentes
¿Qué versiones de Veeam debo instalar para estar protegido?
Para Backup & Replication, actualice al build 12.3.2.4165 o superior. Para Veeam Agent for Microsoft Windows, instale el build 6.3.2.1302 o superior. Las dos RCE (CVSS 9,9) afectan a v12.3.2.3617 y anteriores; la elevación de privilegios se corrige a partir del 6.3.2.1302 del agente.
¿Estas RCE permiten comprometer mi servidor desde Internet sin credenciales?
No según el aviso: requieren un usuario de dominio autenticado con acceso de red al servidor o a servicios de la infraestructura de backup. Aun así, si el servidor está unido al dominio de producción, el riesgo operativo es mayor por el potencial de movimiento lateral con credenciales comprometidas.
¿Qué hago si no puedo parchear hoy mismo?
Aísle el servidor de backup, limite el acceso de red solo a hosts necesarios, revise privilegios de cuentas, active MFA en administradores y vigile el servicio Mount y el servidor de backup por accesos anómalos. Planifique la actualización a la mayor brevedad.
¿Debería sacar mi servidor Veeam del dominio de producción?
Es una buena práctica evaluada desde hace años: separar el backup en un workgroup o dominio de gestión (en bosque distinto), con MFA y segmentación. Esta familia de fallos —que impacta a servidores unidos a dominio— refuerza dicha recomendación.
vía: veeam
