Veeamでリモートコード実行が可能な脆弱性、早急なパッチ適用を(CVE-2025-23120)

VeeamのVeeam Backup & Replication でリモートコード実行が可能な脆弱性(CVE-2025-23120)が発生しました。パッチはリリースされているので早急な適用をお勧めします。

脆弱性の対象バージョン

Veeam Backup & Replication 12.3.0.310 および それ以前のバージョン 12 ビルドすべて。

脆弱性の対策バージョン

Veeam Backup & Replication 12.3.1 (ビルド 12.3.1.1139)

脆弱性の概要と本質

この脆弱性はCVSS スコアは 9.9 と記載されています。

セキュリティコンサルティング会社のWatchTowr Labsによると

問題の本質は、Veeam Backup & Replication におけるデシリアライズ処理が「ブラックリスト方式」に依存していたことにあります。

具体的には、Veeam は .NET BinaryFormatter を用いたオブジェクトのデシリアライズ処理において、「悪意あるクラスを除外する」というブラックリスト（除外リスト）を実装していました。しかしこのアプローチは、「既知の危険なクラス」を手動で列挙・管理する必要があり、新たに発見された悪用可能なクラス（ガジェット）を防げないという根本的な限界があります。

今回の脆弱性（CVE-2025-23120）では、そのブラックリストに漏れていた DataSet を継承した独自クラス（例：xmlFrameworkDs や BackupSummary）がデシリアライズ可能となっており、任意コード実行（RCE）を引き起こすトリガーとして利用可能でした。

このように、「ブラックリストで危険なものだけ除外すれば安全」という考え方自体が非常に楽観的であり、特に巨大なコードベースや多くのサードパーティ製ライブラリを含む製品においては、管理漏れや新たな攻撃手法により、簡単に回避される恐れがあるというのが問題の本質となります。

なお、WatchTowr Labsにより一部PoCも公開されています。繰り返しですが早急なアップデートをお勧めします。