Vulnerabilidades críticas en Veeam 2026
Vulnerabilidad crítica - 13/03
Introducción
Veeam Backup & Replication, una de las soluciones empresariales más utilizadas para la gestión y protección de copias de seguridad, publicó un boletín advirtiendo de nuevas vulnerabilidades, entre las que destacan CVE-2026-21666 y CVE-2026-21667. Ambas fallas se consideran críticas porque permiten la ejecución remota de código en el servidor de backup, uno de los sistemas más sensibles dentro de una infraestructura corporativa.
Estas vulnerabilidades permiten que un usuario autenticado dentro del dominio envíe solicitudes manipuladas al servidor que gestiona las copias de seguridad. Si el ataque tiene éxito, el servidor procesa esas peticiones de forma incorrecta y termina ejecutando código arbitrario. Esto significa que un atacante que ya tenga algún nivel de acceso a la red corporativa, por ejemplo, mediante credenciales comprometidas, podría aprovechar el fallo para tomar el control del servidor de backup.
El impacto potencial es especialmente grave porque los servidores de backup suelen tener privilegios elevados y acceso a múltiples sistemas y datos críticos de la organización. Una vez comprometido ese servidor, un atacante podría moverse lateralmente por la red, acceder a información sensible o incluso eliminar o manipular las copias de seguridad. Este último punto es particularmente preocupante en el contexto de ataques de ransomware, donde los atacantes buscan destruir o cifrar los backups para impedir la recuperación de los sistemas.
Análisis
CVE-2026-21666 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9
CVE-2026-21666 permite la ejecución remota de código en el servidor de backup. Esta falla se aprovecha cuando un usuario autenticado dentro del dominio envía solicitudes manipuladas al servidor, provocando que el sistema ejecute código arbitrario. Dado que los servidores de backup suelen tener privilegios elevados y acceso a datos críticos de toda la infraestructura, un atacante podría tomar control completo del servidor, comprometiendo la disponibilidad y seguridad de los backups.
CVE-2026-21667 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 10
CVE‑2026‑21667 permite un escenario de ejecución remota de código muy similar al de CVE‑2026‑21666. En este caso, un usuario autenticado del dominio puede enviar entradas especialmente diseñadas que el servidor interpreta incorrectamente, permitiendo al atacante ejecutar código con los privilegios del servicio de backup. Esto expone a la organización a riesgos significativos, incluyendo manipulación o eliminación de copias de seguridad, movimientos laterales en la red y posibles ataques de ransomware.
Versiones afectadas
Veeam Backup & Replication 12.3.2.4165 y versiones anteriores de la rama 12.
Recomendaciones
Aplicar el parche publicado por la empresa en Veeam Backup & Replication 12.3.2.4465.
Workarounds
No hay workarounds para estas vulnerabilidades.
Referencias
Vulnerabilidad crítica Veeam Backup & Replication - 15/06
Introducción
CVE-2026-44963 es una vulnerabilidad crítica identificada en Veeam Backup & Replication, con una puntuación CVSS 4.0 de 9.4 (Crítico), documentada en el advisory oficial de Veeam (KB4869) y publicada el 9 de junio de 2026.
El vector de ataque es remoto (AV:N) con baja complejidad (AC:L), con requisito de usuario de dominio autenticado (PR:L) y sin necesidad de interacción del usuario (UI:N).
El impacto es máximo en confidencialidad, integridad y disponibilidad tanto del sistema vulnerable como de los sistemas adyacentes (VC:H/VI:H/VA:H/SC:H/SI:H/SA:H), lo que indica que una explotación exitosa compromete completamente el Backup Server y los sistemas conectados a él.
La vulnerabilidad está clasificada bajo CWE-502 (Deserialization of Untrusted Data). Esta vulnerabilidad solo afecta a Backup Servers unidos a un dominio (domain-joined) y no afecta a ninguna versión 13.x de Veeam Backup & Replication debido a cambios arquitectónicos introducidos en dicha versión
Análisis
La vulnerabilidad CVE-2026-44963 tiene su origen en una deserialización de datos no confiables (CWE-502) en el Backup Server de Veeam Backup & Replication. Este tipo de fallo permite a un atacante manipular datos serializados que el servidor procesa y ejecuta, resultando en la ejecución de código arbitrario en el contexto del proceso servidor. Al no requerir privilegios elevados, un usuario de dominio autenticado es suficiente, la barrera de entrada para la explotación es significativamente baja en entornos corporativos donde cualquier empleado con credenciales de Active Directory puede convertirse en vector de ataque.
Desde una perspectiva de explotabilidad, el vector AV:N/AC:L/PR:L/UI:N posiciona este CVE como altamente explotable de forma remota sin necesidad de interacción del usuario. El impacto de confidencialidad alta en el sistema vulnerable y adyacente implica el posible acceso a credenciales e información almacenada en el entorno de backup. El impacto de integridad alta permite la modificación o destrucción de datos de backup, mientras que el impacto de disponibilidad alta puede comprometer la capacidad de recuperación de la organización ante incidentes.
Para la mitigación de CVE-2026-44963, se recomienda la actualización inmediata a la versión 12.3.2.4854 de Veeam Backup & Replication, disponible en los canales oficiales de distribución del fabricante. Como medida adicional, se recomienda restringir el acceso de red al Backup Server exclusivamente a los sistemas y usuarios que lo requieran, y revisar los logs de acceso para detectar posibles indicadores de explotación previa.
Versiones afectadas
- Consultar advisory del fabricante para versiones afectadas
- Veeam Backup & Replication < 12.3.2
Recomendaciones
- ActualizarVeeam Backup & Replicationa la versión 12.3.2.4854 o posterior con carácter urgente.
- Consultar el advisory oficial del fabricante (KB4869)para instrucciones de actualización específicas.
- Restringir el acceso de red al Backup Server exclusivamente a sistemas y usuarios que lo requieran.
- Revisar logs de acceso al Backup Server para detectar posibles indicadores de explotación previa.
- Revisar inventario de activos para determinar exposición.
Workarounds
No hay workarounds específicos identificados.
