Veeam 火速发布 Backup & Replication （简称 VBR）12.3.2 版安全更新，封堵多项高危漏洞。最受关注的是 CVE-2025-23121（CVSS 9.9，远程代码执行），同时修复了两个高权限角色可滥用的漏洞（CVE-2025-24286、CVE-2025-24287）。虽然漏洞仅影响 加入 Windows 域 的备份服务器，但一旦被任何已认证的域用户利用，攻击者即可在备份主机执行任意代码，进而横向渗透生产网络。

事实上，VBR 一直是勒索软件团伙重点攻击的目标。BleepingComputer 报道指出，多个勒索组织曾明确表示，他们长期瞄准 VBR 服务器，以便在部署勒索负载前删除关键备份，从而阻断受害者的数据恢复路径、扩大勒索效果。近期，包括 Frag、Akira、Fog 在内的多个勒索家族均利用 CVE-2024-40711 等 VBR 漏洞发起攻击。更早之前，Cuba 勒索团伙、以及与 Conti、REvil、Maze 等合作的 FIN7 组织，也曾多次利用 Veeam 系列漏洞达成入侵。更多技术细节可参见文章【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告，在该文的溯源分析部分，我们按客户生产网络 1∶1 还原搭建了仿真环境，完整复现了黑客的入侵路径与攻击流程，并演示其如何利用 *CVE-2023-27532* 漏洞成功攻陷 Veeam 备份服务器。

0 | 产品简介

Veeam Backup & Replication 是一款由 Veeam 公司推出的企业级数据备份与恢复软件，广泛应用于虚拟化、物理机和云环境中，具备备份、复制、恢复等核心功能。它支持灵活的备份调度策略，兼容 VMware、Hyper-V、物理主机及主流云平台，能够帮助企业构建可靠的数据容灾体系，是保障业务连续性的重要工具之一。近年来，由于其在企业中部署广泛，勒索组织也频繁将其作为攻击目标，试图通过删除备份来阻断恢复路径，因此其安全性也越来越受到关注。

1 | 官方说明

注意：尽管部分不再受支持的历*史版本*未纳入本次测试，但极有可能同样受到影响，建议统一升级处理。

2 | 漏洞技术细节

❝

背景：今年 3 月 Veeam 曾修补 CVE-2025-23120（CVSS 9.9），但该补丁被研究团队证明可被绕过，促成本次 “二次补丁” 迅速发布。

3 | 风险评估

1. 备份服务器：备份服务器存放所有数据副本与凭据，攻破即相当于掌控整网。
2. 门槛低：仅需普通域账户即可触发漏洞，不少企业仍把备份服务器加入生产域，违反最佳实践。
3. 横向移动加速器：拿下 VBR 主机后，可快速渗透虚拟化管理、存储阵列甚至灾备站点。

4 | 立即采取的缓解措施

4.1 升级补丁

• 登录 Veeam 官方网站，下载并安装 VBR 12.3.2.3617，同时更新 Veeam Agent for Windows 6.3.1.1075 等组件。

4.2 硬化备份环境

• 域隔离：将备份服务器置于独立工作组或专用 AD Forest，限制入站端口。
• 双因素保护：为所有 Veeam 控制台和 Windows 管理账户启用 MFA（建议智能卡 / 硬件令牌）。

4.3 检测与响应

• 监控 Veeam 事件日志中的异常 RPC 调用、作业修改与恢复操作。
• 使用 EDR / IDS 检测来自非常规域账户的远程进程注入。
• 对公网暴露的管理端口（TCP 9401 / 9851 等）实施 Geo / IP 白名单。

4.4 备份安全策略

• 采用 3-2-1-1-0 模型：三份副本、两种介质、一份离线、一份不可变、零恢复错误。
• 定期进行离线恢复演练，确保最新补丁与备份均可成功还原。

5 | 结语

CVE-2025-23121 等漏洞再次提醒我们：备份系统本身就是高价值攻击面。企业应尽快打补丁、隔离域、强化访问控制，并把备份安全纳入零信任防御策略，方能让 “最后一道数据保险” 真正发挥作用。

官方修复补丁链接：https://www.veeam.com/kb4743

6 | 消息来源

• https://www.bleepingcomputer.com/news/security/new-veeam-rce-flaw-lets-domain-users-hack-backup-servers/?utm_source=chatgpt.com
• https://www.cybersecuritydive.com/news/veeam-patch-critical-flaw-backup/751052/?utm_source=chatgpt.com