Veeam Backup & Replicationに複数の脆弱性 12系と13系で緊急修正(CVE-2026-21666,CVE-2026-21667,CVE-2026-21668)

セキュリティニュース

投稿日時: 更新日時:

Veeam Backup & Replicationに複数の脆弱性 12系と13系で緊急修正(CVE-2026-21666,CVE-2026-21667,CVE-2026-21668)

Veeamは2026年3月12日、Veeam Backup & Replication 12.3.2.4465で解消した脆弱性を事を公表しました。対象は12.3.2.4165と、それ以前のすべてのバージョン12ビルドです。Veeamは、脆弱性と修正パッチが公開されると、攻撃者が未修正環境を狙ってパッチをリバースエンジニアリングする可能性が高いとして、速やかな更新を強く呼びかけています。

12系で修正された脆弱性

公式KB4830によると、12系で修正された主な脆弱性は5件です。CVE-2026-21666とCVE-2026-21667は、いずれも認証済みドメインユーザーがBackup Server上でリモートコード実行を行える問題で、深刻度はCritical、CVSS v3.1スコアは9.9です。

CVE-2026-21668は、認証済みドメインユーザーが制限を回避してBackup Repository上の任意ファイルを操作できる問題で、深刻度はHigh、CVSSは8.8です。CVE-2026-21672はWindowsベースのVeeam Backup & Replicationサーバーにおけるローカル権限昇格、CVE-2026-21708はBackup Viewerがpostgresユーザーとしてリモートコード実行できる問題で、前者はHigh 8.8、後者はCritical 9.9とされています。

あわせて、Veeam Agent for Linuxが開放するファイアウォールポート範囲も、他のVeeam製品に合わせて2500から3300へ変更されたと案内されています。Veeamの公式説明では、これらの問題はすべて12.3.2.4465で修正済みです。

13系では別のCVE群が修正されている

今回の報道で少し分かりにくいのは、12系と13系で修正対象のCVEが一部異なる点です。13系向けの公式KB4831では、13.0.1.1071以前のバージョン13ビルドに対し、CVE-2026-21669、CVE-2026-21670、CVE-2026-21671、CVE-2026-21672、CVE-2026-21708が修正対象として列挙されています。CVE-2026-21669は認証済みドメインユーザーによるBackup ServerでのRCE、CVE-2026-21670は低権限ユーザーによる保存済みSSH認証情報の抽出、CVE-2026-21671は高可用性構成でのBackup Administrator権限を持つ認証済みユーザーによるRCEです。

なぜこの更新が重要なのか

Veeam Backup & Replicationは、企業のバックアップと復旧を支える中核製品です。Veeam は侵害済みネットワーク内での横展開の足がかりになりやすいこと、データ窃取を簡単にすること、さらには被害企業のバックアップ削除によって復旧を妨害しやすいことで狙われやすいので脆弱性の対策が必要です。