Guide

CVE-2026-44963: RCE critico su Veeam Backup & Replication — aggiornare subito a 12.3.2.4854

Dario Fadda Giugno 12, 2026

Il 9 giugno 2026 Veeam ha rilasciato una patch di emergenza per CVE-2026-44963, una vulnerabilità di esecuzione di codice remoto con CVSS v4 di 9.4 (Critical) che colpisce Veeam Backup & Replication 12.x. La falla consente a un qualsiasi utente autenticato nel dominio Active Directory di eseguire codice arbitrario sul backup server — anche senza privilegi specifici sull’applicazione Veeam stessa. In un ambiente enterprise, questo equivale alla potenziale compromissione dell’intera infrastruttura di disaster recovery.

Cosa permette di fare CVE-2026-44963

Si tratta di una falla di deserializzazione non sicura nel servizio Veeam Backup & Replication. Un utente di dominio può inviare richieste costruite ad hoc all’API interna del backup server e ottenere esecuzione di codice con i permessi del processo Veeam — tipicamente SYSTEM o un account di servizio ad alto privilegio.

Il vettore è di rete, la complessità bassa, non è richiesta interazione utente. L’unica limitazione: il backup server deve essere membro di un dominio Active Directory. I server Veeam in workgroup non sono affetti da questa CVE specifica.

Versioni affette e versione sicura

Versione Stato
12.3.2.4465 e precedenti (tutta la linea 12.x) ⚠️ Vulnerabile
12.3.2.4854 ✅ Patchata
13.x ✅ Non affetta (architettura diversa)

Perché i backup server sono target critici

Un backup server ha accesso privilegiato a tutti i sistemi che protegge: credenziali, snapshot, dati di configurazione. Un attaccante che lo compromette può:

  • Esfiltrare dati sensibili dai backup di sistemi critici
  • Cifrare o cancellare i backup, rendendo inutile la strategia di disaster recovery
  • Usare le credenziali salvate per muoversi lateralmente nell’infrastruttura
  • Distribuire ransomware sapendo che il ripristino sarà impossibile

Sina Kheirkhah di WatchTowr, che ha scoperto e segnalato la falla, sottolinea come compromettere il backup server sia l’equivalente di togliere la rete di sicurezza prima che qualcuno cada.

Verificare la versione installata

Da PowerShell sul backup server:

Get-ItemProperty -Path "HKLM:\SOFTWARE\Veeam\Veeam Backup and Replication" |
    Select-Object -ExpandProperty PackageVersion

Oppure via registry:

reg query "HKLM\SOFTWARE\Veeam\Veeam Backup and Replication" /v PackageVersion

In alternativa, dalla Veeam Backup Console: Help → About.

Procedura di aggiornamento a 12.3.2.4854

L’update è disponibile sul portale download Veeam. Prima di procedere:

  1. Verificare lo spazio disco: l’installer richiede almeno 3 GB liberi sul volume di sistema.
  2. Eseguire un backup manuale dei sistemi più critici come precauzione.
  3. Mettere in pausa i job schedulati per evitare conflitti durante l’aggiornamento.
  4. Aggiornare i componenti remoti dopo l’update del server principale (proxy, repository, agent). Non ignorare questo passaggio.
# Verificare componenti da aggiornare dopo l'update del server
Add-PSSnapin VeeamPSSnapIn
$currentVer = (Get-VBRVersion).ProductVersion
Get-VBRServer | Where-Object { $_.ComponentsVersion -ne $currentVer }

Mitigazioni se non è possibile aggiornare subito

Se non è possibile applicare la patch immediatamente, queste misure riducono la superficie di attacco:

  • Isolare il backup server dalla rete generale: limitare l’accesso alle porte di gestione Veeam (default TCP 9392, 9401) ai soli host autorizzati tramite firewall o ACL.
  • Ridurre gli account di dominio con accesso al server Veeam: applicare il principio del minimo privilegio.
  • Monitorare i log di autenticazione: cercare autenticazioni anomale verso il Veeam Backup Service in orari inusuali.
  • MFA per gli account di gestione Veeam: se il provider di identità lo supporta, abilitare l’autenticazione a più fattori.

Il pattern storico delle vulnerabilità Veeam

Non è la prima volta che Veeam finisce sotto i riflettori per falle critiche. CVE-2023-27532 (CVSS 7.5), CVE-2024-40711 (CVSS 9.8) e ora CVE-2026-44963 mostrano che i backup server sono bersagli sempre più ricercati, specialmente dagli operatori ransomware. Il suggerimento è di trattare i server Veeam come sistemi Tier-0, al pari dei Domain Controller: monitoraggio dedicato, accesso privilegiato minimale, patch urgente e segmentazione di rete.

Conclusione

CVE-2026-44963 non ammette ritardi: qualsiasi utente di dominio può compromettere il backup server e da lì raggiungere tutto il resto. Verificare la versione installata, pianificare l’aggiornamento a 12.3.2.4854 nel più breve tempo possibile e applicare nel frattempo le mitigazioni di rete.

Fonte: The Hacker News — Veeam Backup & Replication RCE Flaw Lets Domain Users Run Remote Code | BleepingComputer — New Veeam vulnerability exposes backup servers to RCE attacks

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su CVE-2026-44963: RCE critico su Veeam Backup & Replication — aggiornare subito a 12.3.2.4854, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community