[English]Nutzer von Veeam Backup & Replication müssen reagieren. Der Anbieter Veeam hat zum 17. Juni 2025 Veeam Backup & Replication 12.3.2 sowie Veeam Agent for Microsoft Windows 6.3.2 veröffentlicht. Veeam Backup & Replication 12.3.2 schließt unter anderem eine kritische Remote Code Execution (RCE) Schwachstelle CVE-2025-23121 in (Domain-joined) Backup-Servern.
Ich bin die letzten Stunden von einigen Lesern (z.B. hier) auf dieses Software-Release und eine Veeam Sicherheitswarnung hingewiesen worden (danke dafür). Fritz schrieb ebenfalls im Diskussionsbereich, dass Veeam einen Sicherheitshinweise und Updates (beschrieben in kb4743: Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2) herausgebracht habe, welche sich mit Sicherheitslücken befasst und diese schließt. Dieses Update betrifft:
- Veeam Backup & Replication | 12 | 12.1 | 12.2 | 12.3 | 12.3.1
- Veeam Agent for Microsoft Windows | 6.0 | 6.1 | 6.2 | 6.3 | 6.3.1
und schließt folgende Schwachstellen:
- CVE-2025-23121 (CVSS v3.0 Score: 9.9; Critical): Eine Sicherheitslücke, die Remotecodeausführung (RCE) auf dem Backup Server durch einen authentifizierten Domänenbenutzer ermöglicht.
- CVE-2025-24286 (CVSS v3.1 Score: 7.2; High): Eine Schwachstelle, die es einem authentifizierten Benutzer mit der Rolle "Backup Operator" erlaubt, Backup-Aufträge zu ändern, wodurch beliebiger Code ausgeführt werden könnte.
- CVE-2025-24287 (CVSS v3.1 Score: 6.1; High): Eine Schwachstelle, die es lokalen Systembenutzern erlaubt, den Inhalt von Verzeichnissen zu verändern, was die Ausführung von beliebigem Code auf dem lokalen System mit erhöhten Rechten ermöglicht.
Eigentlich sollte CVE-2025-23121 nicht ausnutzbar sein, weil die Empfehlung lautet, Backup-Server nicht in einer Domäne aufzunehmen. Aber es dürften einige solche Konstellationen existieren.
Die Schwachstellen CVE-2025-23121 und CVE-2025-24286 betreffen Veeam Backup & Replication 12.3.1.1139 und frühere Builds. Die Schwachstellen werden in Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) beseitigt.
Betroffen von CVE-2025-24287 sind Veeam Agent für Microsoft Windows 6.3.1.1074 und alle früheren Builds der Version 6. Diese Sicherheitslücke wurde mit Veeam Agent for Microsoft Windows 6.3.2 (build 6.3.2.1205) behoben.
MVP: 2013 – 2016
> Eigentlich sollte CVE-2025-23121 nicht ausnutzbar sein, weil die Empfehlung lautet, Backup-Server nicht in einer Domäne aufzunehmen. Aber es dürften einige solche Konstellationen existieren.
In den letzten 7-10 Jahren sind mir ausschliesslich NUR kleine und mittelständische Unternehmen inkl. große Mittelständler mit Konzernstrukturen begegnet, die ein Veeam direkt in Ihre ADs gehängt haben. Das gleiche gilt für HyperV und vmware und anderem Zeugs… weil es so schön einfach ist… am besten immer alles mit dem schwächsten Glied in der Kette verbinden, damit wenn dieses fällt, alles andere mitfällt.
So viel zu solchen existierenden Konstellationen, die eigentlich nicht sen dürften…
Ja du hast recht, sollte insbesondere bei Veeam nicht so sein, da selbst die Konsole auf die Best practices hinweisen kann. Andererseits ist die Frage wo deine Backups letztendlich liegen, gerade VMware (und selbstverständlich hyperv) haben die bequeme ad Integration mit SSO ja vorgelebt. Und die storage Anbieter den da kaum hinten an.
Unter Microsoft auch bei DMZ Maschinen kein Problem mit Domain Mitgliedschaft sah, wundere ich mich über solche Konstellationen nicht.
Security by DEFAULT and DESIGN sieht anders aus!
Besonders peinlich, wenn das bei einer Backupsoftware ist.
Was hier leider nicht thematisiert wird:
Die Täter Opfer Umkehr. Nicht Veeam ist anscheinend für seinen Schrott verantwortlich, sondern die Admins, die es nicht richtig installiert haben. Das schwingt hier durch und wird leider von der Presse (sorry auch von Dir Günter) einfach übernommen.
Dass niemanden dieses Narrativ stört? Man hätte ja auch eine Installation im AD bzw. gleichen Tree verhindern können mit einer simplen Abfrage im Installer oder bei einem Update oder mit nervenden Nudgeing Hinweisen beim Programmstart oder in jeder Status-Mail.
Interessanterweise macht man das alles bei dem Upselling oder Verkauf auf neue Versionen.
Da wo es darauf ankommt bleibt man still…
Das gleiche gilt auch für den Microsoft Dreck…
Wer Veeam ausschließlich nur zur HyperV Sicherung im Cluster einsetzt, fährt mit GitOps wesentlich besser und günstiger:
https://blog.jakobs.systems/blog/20240908-gitops-veeam-ersatz/
"Wer Veeam ausschließlich nur zur HyperV Sicherung im Cluster einsetzt, fährt mit GitOps wesentlich besser und günstiger:
https://blog.jakobs.systems/blog/20240908-gitops-veeam-ersatz/"
Schon wieder deine Werbung für den eigenen Blog – Sorry, aber erwähne doch bitte auch dabei, dass dein Verweis lediglich den Part der Versionskontrolle eines/der Backup Scripte bezieht. Keinen der anderen Punkte, die eine Software wie sie von Veeam beziehbar ist, deckt der Kram ab.
Die wichtigsten Punkte dabei sind wohl:
– Das eigentliche Backup Repository (OnPrem self hosted, Cloud wenn gewünscht, Block Klon Option, Depub, Versionshändling der Stände, SingleItem Restore Optionen, Reporting, …)
– Flexibilität bei den Backup Quellen – Veeam im Beispiel kann vSphere und HyperV sowie seit kurzem auch Proxmox VMs sichern. Es kann Cloud Services sichern (ala MS 365 Kram), es kann einzelne Hosts mit Linux und Windows sichern, es kann Shares sichern, es kann bei einzelnen Hosts sogar externe Medien sichern – und noch besser, man kann im Restorefall auch über Kreuz zurück spielen. vSphere VM gesichert und auf HyperV oder Proxmox zurück gespielt ist kein Problem.
– Es gibt eine zentrale GUI für das Backup Handling für das Unternehmen – für die 1 Mann Unternehmung vielleicht irrelevant – bei größeren und vor allem verteilten IT Abteilungen sehr relevant.
– Es gibt je nach Produkt noch weitere Produkte, die sich integrieren lassen -> eine Enterprise Console bspw. mit einer WebGUI und einem User Self Service Produkt. So kann Heinz aus der Entwicklungsabteilung oder Azubine Lise ihre zugewiesenen Ressourcen ohne Aufwand selbst verwalten. Inkl. durchaus flexiblem Rechtekonstrukt.
Btw. ist deine Aussage im Blog auch nur bedingt korrekt was die Preisgestaltung angeht.
Denn die 17k€ für 30VMs + 2 Hosts + 10TB Storage/Share sind eben auf 5 Jahre zu rechnen. Das sind 3000€ pro Jahr. 250€ pro Monat.
So wie du kann man nur rechnen, wenn Arbeitszeit Umsonst ist. 250€ ist in etwa die Region, was ein Durchschnitts-IT Admin pro Tag das Unternehmen kostet. Wenn das überhaupt für einen ganzen Tag reicht. Das heißt umgerechnet, hast du mit der Bastellösung alles selbst zu verscripten und zu betreiben, inkl. aller notwendigen Schritte zum Troubleshooting und Lösung von Fehlern mehr wie 1 MT im Monat Aufwand, hätte die Rechnung in deinem Blog schlicht kostentechnisch einen Vorteil. In Aller Regel geht bei bei diesen Kaufprodukten für die Unternehmen u.A. auch eben darum, dass man sich nun gerade NICHT darum kümmern muss. Was mal logischerweise auch bezahlt. Um so spezieller und breiter das zu sichernde Umfeld (viele verschiedenen Produkte, diverse Anforderungen dieser Produkte), desto mehr manuellen Aufwand hat so eine Bastel-Scriptlösung.
Auchso und was auch noch zu erwähnen wäre – dein Einsteiger mit dem abfischen der Passwörter -> wo und an welcher Stelle ist das bei deiner empfohlenen Lösung jetzt genau anders? Wer Zugriff auf das Repo hat, wo die Scripte liegen, der hat Zugriff auf die Daten. Du kannst sie irgendwie offline verschlüsseln – dann aber gibts auch keine Option mehr zum nutzen. Du kannst die automatisiert verschlüsseln, dann aber gibt es immer die Option diese Automatisierung zu nutzen um im Klartext da ran zu kommen – vor allem bei Zugriff auf die Kiste… Ergo, exakt gar nix gewonnen.
> Die wichtigsten Punkte dabei sind wohl:
– Das eigentliche Backup Repository
> Flexibilität bei den Backup Quellen
Du kannst aber schon lesen? Hier nochmal für Dich: ""Wer Veeam ausschließlich nur zur HyperV Sicherung im Cluster einsetzt" Was Flexibilität anbetrifft sind die eigenen PowerShell/Bash Skripte um welten Flexibler als die eingeschränkten UI eines Veeams. Oder wo kannst Du einem Ticketsystem mitteilen, was gerade schief gelaufen ist? Oder einem Zabbix, dass eine neue VM restored wurde?
> Es gibt eine zentrale GUI für das Backup Handling für das Unternehmen
Oh Boy, nicht gelesen bzw. verstanden. Eine zentrale GUI will man genau nicht, genau umgekehrt was Du schreibst. Eine GUI ist was für den Heim und 1-Mann Unternehmer. Hier nochmal zum mitschreiben (Zitat stammt nicht von mir):
"Wenn man auf einen Rechner klettern muss, um etwas nachzuschauen, ist offensichtlich das Monitoring kaputt. Wenn man auf einen Rechner klettern muss, um etwas zu ändern, ist offensichtlich die Automatisierung kaputt und vermutlich, hoffentlich, nicht nur die eine Kiste kaputt, sondern alle andern auch und zwar hoffentlich gleich."
Du schreibst den üblichen Bla Bla Blupp den ich hier abfrühstücke:
https://blog.jakobs.systems/micro/20241016-hyperv-backups-faq/
Und zu Deiner Milchmädchenrechnung (Hallo?!?! 250,- EUR/h für einen Admin?!) Hier mal den realen Aufwand für das GitOps zur vollständigen Live-Sicherung von 70+ VMs im HyperV Clusters mit 3 Nodes und 2 Storages bei einem größeren mittelständischen Industrieunternehmen der Stahlbranche
ca. 2 Arbeitsstunden für das Skripten und Testen der modularen HyperV Powershellskripte, Dann nochmal 1 Stunde für Dokumentation und Kurzeinweisung der Admins, hauptsächlich wie man mit git pusht und pullt.
Gerade im Repo nachgeschaut, an den Skripten selbst hat sich in den letzten beiden Jahren nichts geändert. Lediglich die Joblisten wurden angepasst.
> Abfischen der Passwörter…
Lies Dir doch einfach mal die Incident Reports von betroffenen Unternehmen. Den typischen Veeam Kunden. Dann weißt Du mehr…
Es müssen noch mehr dieser typischen AD Netze Platzen, inkl. der Datensicherungen…
Tomas Jakobs, deine überhebliche Art ist einfach nur peinlich.
Selbst wenn sie Recht hätten, können sie es ohne ihre herablassende Art und Weise tun?
"Oder wo kannst Du einem Ticketsystem mitteilen, was gerade schief gelaufen ist?"
Kann ich aus Veeam heraus nicht bei Ereignissen direkt Mails versenden lassen, die z.Bsp. dann ein Ticket in einem Ticketsystem eröffnen?
"Kann ich aus Veeam heraus nicht bei Ereignissen direkt Mails versenden lassen, die z.Bsp. dann ein Ticket in einem Ticketsystem eröffnen?"
Kannst du und auch syslog und SNMP sind als Option vorhanden, um Informationen zu verschicken. Sowie auch REST-API und Powershell cmdlets für eigene Skripte bzw. Abfragen existieren. Gibt also einen ganzen Stapel an Möglichkeiten, mit der Lösung zu kommunizieren, je nachdem was man halt benötigt. Und in größeren Umgebungen bietet sich zusätzlich VeeamOne fürs Reporting an, das kann man wohl auch recht flexibel konfigurieren. Wobei ich damit selbst noch nicht gearbeitet habe.
Das diskutieren kannst du dir bei dem sparen, er ist sowieso immer der tollste und beste und alles was die anderen machen per Definition schlecht. Und Produkte von Firmen sowieso ganz böse, die haben ja alle keine Ahnung.
Ganz ehrlich, der Kerl lebt gefühlt an der Realität vorbei. Angeblich wird er ja von Firmen gerufen, wenn alles am Boden liegt und er ist dann der große Held, der alles ganz Toll macht. Mit Lösungen, die hinterher außer ihm keiner verwalten kann.
Das geht doch hier schon lange so, ständig Werbung in eigener Sache zu machen.
Und wie man sich als seriöser IT-Betreuer hier in dieser Art auslässt, ist mir auch ein Rätsel.
Wäre mir an seiner Stelle mehr als peinlich, wenn meine Kunden so einen ständigen Senf hier lesen würden.
Veeam rät in seiner Dokumentation ausdrücklich davon ab, den Backup-Server in die Domäne einzubinden.
Veeam reagiert üblicherweise auch recht schnell und transparent auf Sicherheitslücken.
Wenn Admins aus Gründen – die vielleicht sogar nachvollziehbar sind – es trotzdem machen, dann sind sie sehr wohl für die möglichen (Un-)Sicherheitsfolgen verantwortlich. Wir wissen: es gibt keine 100% sichere Software, darum minimiert ein guter Admin die möglichen Angriffsvektoren.
Bei uns (KMU) würdest du nichts finden. Wir haben glücklicherweise einen kompetenten Admin, der Dokumentationen lesen und verstehen kann :)
Es gibt in Veeam Backup & Replication einen Security & Compliance Analyzer, welcher einen sehr transparent informiert, ob alles korrekt eingestellt ist. Da sind einige Punkte drin, wie z.B. auch, dass auf Veeam Servern keine Anmeldung per RDP möglich ist. Veeam bietet auch ein Powershell Script für eben diese Härtungen an. Aus meiner Sicht hat Veeam Security durchaus im Blick, der Support hat uns immer kompetent weitergeholfen. Das Skript findet man hier:
https://www.veeam.com/kb4525
Das Update haben wir heute eingespielt und von 12.3.1.1139 auf 12.3.2.3617 aktualisiert. Das hat ohne Probleme funktioniert.
VEEAM gehört zu den Firmen, die als kleines Startup angefangen haben und sich zunächst auf ihre Kernfunktionalität konzentrierten.
Mit heutigen Worten würde man vielleicht sagen "Backup first, Bedenken second".
Allerdings haben sie in den letzten 10 Jahren ihre Hausaufgaben gut gemacht.
Der Credentials Manager gehört mit zu dem Besten, was ich in vergleichbarer Software bisher gesehen habe, er muß ja nicht nur Zugänge für die verschiedenen Gast-ADs (die man für solche Sachen wie Filesystem Indexing, Item Level AD Backup/Restore oder granulares Exchange-Backup braucht) , sondern auch andre Betriebssysteme (Linux) und die diversen Cloud-Anbindungen tragen.
Ja, sie machen es einem einfach, die Verwaltungskonsole auch mit ins AD zu hängen, aber es wird nicht nur in der Dokumentation, sondern auch im entsprechenden Dialog ausdrücklich davor gewarnt.
Wenn überhaupt sollte man dazu einen eigenen kleinen AD-Tree im Forest haben, der ausschließlich für solche Verwaltungsaufgaben gedacht ist, möglichst wenig Nutzer und Vertrauensstellungen hat und ausschließlich für die Infrastruktur (Storage, Virtualisierung und eben Backup) Verwendung findet.