De Amerikaanse overheid waarschuwt voor twee actief misbruikte kwetsbaarheden in Veeam Backup & Replication waardoor aanvallers op afstand het systeem volledig kunnen overnemen. Veeam Backup & Replication is software voor het back-uppen en restoren van fysieke, virtuele en cloudomgevingen en Microsoft Office 365.

Begin dit jaar kwam de softwareontwikkelaar met updates voor twee kwetsbaarheden (CVE-2022-26500 en CVE-2022-26501) in de software. De Veeam Distribution Service die standaard op tcp-poort 9380 draait geeft ongeauthenticeerde gebruikers toegang tot interne API-functies. Een aanvaller kan via deze interne API code op het systeem uitvoeren. De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Beide beveiligingslekken, gevonden door beveiligingsonderzoeker Nikita Petrov van Positive Technologies, werden op 12 maart van dit jaar verholpen. Het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security, laat nu weten dat er actief misbruik van beide kwetsbaarheden is gemaakt. Federale Amerikaanse overheidsinstanties zijn nu opgeroepen om de betreffende updates voor 3 januari te installeren.