Nederlandse onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben verschillende kritieke kwetsbaarheden in de back-upsoftware Vembu BDR Suite gevonden waardoor het mogelijk is om systemen op afstand over te nemen. Details over de drie beveiligingslekken worden woensdag 25 augustus openbaar gemaakt. Een beveiligingsupdate is inmiddels beschikbaar.

Volgens Vembu maken wereldwijd meer dan zestigduizend bedrijven gebruik van de oplossingen die het biedt, waaronder NASA, Fujitsu, Kawasaki, Samsung en Epic Games. Drie kwetsbaarheden in VembuBDR, VembuOffsiteDR en mogelijk andere producten van de leverancier maken het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op kwetsbare systemen uit te voeren. Alleen een browser zou voldoende zijn om toegang tot een kwetsbaar Vembu-systeem te krijgen.

"Een kwetsbaarheid in dit soort software is ernstig. Backup en recovery-software grijpt per definitie diep in op het systeem van gebruikers van Vembu", aldus het DIVD. De impact van de drie kwetsbaarheden is op een schaal van een 1 tot en met 10 met een 9,8 en een 10 beoordeeld. Vembu heeft de beveiligingslekken verholpen in Vembu BDR versie 4.2.0.2.

Op 15 mei werd het bestaan van de kwetsbaarheden al aangekondigd, maar werden geen verdere details gegeven. Het DIVD was van plan om deze details op 1 juni te publiceren, maar dat is verschoven naar woensdag 25 augustus. Organisaties die de update nog niet hebben geïnstalleerd wordt dringend aangeraden dit alsnog te doen.