veeam backup sunucularında kritik rce açıkları
arkadaşlar, veeam backup & replication’da ciddi bir durum var. 4 tane kritik seviye uzaktan kod çalıştırma (rce) açığı tespit edilmiş. yani saldırganlar yedek sunucularınıza girebilir, kod çalıştırabilir. düşünün bi, yedek sunucusu ele geçirilirse zaten işiniz zor.
ne olmuş tam olarak
veeam mart 2025 yamasını yayınladı ve toplam birkaç açık kapattı. bunların 4 tanesi kritik seviye rce açığı. cvss skorları 9.x bandında, yani ciddi ciddi hemen yamalayın seviyesinde 🔴
detaylı cve numaralarını ve teknik bilgileri veeam henüz tam açıklamadı ama backup & replication ürününün birden fazla versiyonunu etkiliyor.
spoiler: yedek sunucularınız internete açıksa veya güvenilmeyen ağlardan erişilebiliyorsa risk daha da yüksek.
etkilenen sistemler
veeam backup & replication kullanan herkes etkileniyor. özellikle:
| ürün | durum |
|---|---|
| veeam backup & replication | ✅ etkileniyor - acil yamala |
| eski versiyonlar | ✅ muhtemelen etkileniyor |
| güncel yamalı versiyon | ❌ güvenli |
ne yapmalısınız
agalar, yapmanız gerekenler şunlar:
1. önce yedek alın
# veeam yapılandırmanızı yedekleyin
# veeam konsolu > backup infrastructure > backup repositories
# configuration Backup'ı aktif edin
dikkat: yedek almadan bu işe girişmeyin, sonra bana sormayın.
2. güncellemeleri uygulayın
veeam’in resmi sitesinden en son yamaları indirin:
- veeam backup & replication için mart 2025 güvenlik yamasını kurun
- önce test ortamında deneyin, sonra production’a geçin
- kurulum sonrası servisleri restart edin
# windows üzerinde veeam servisleri restart
Restart-Service -Name "Veeam*" -Force
# servis durumlarını kontrol edin
Get-Service -Name "Veeam*" | Select-Object Name, Status
3. erişim kontrollerini gözden geçirin
# veeam backup server'a kimlerin erişimi var kontrol edin
# gereksiz hesapları devre dışı bırakın
# multi-factor authentication (mfa) aktif edin
geçici çözümler
eğer hemen yamalayamıyorsanız (ki neden yamalamıyorsunuz?):
ağ seviyesinde izolasyon:
- veeam backup sunucusuna erişimi sadece güvenilir ip’lere kısıtlayın
- firewall kurallarını sıkılaştırın
- vpn olmadan erişimi kapatın
monitoring:
- veeam loglarını yakından takip edin
- anormal bağlantı denemelerini izleyin
- siem’e log gönderin
# veeam log lokasyonu (windows)
C:\ProgramData\Veeam\Backup\
# bu klasörü monitoring tool'unuza ekleyin
- internet erişimini kesin:
- mümkünse backup sunucusunu internetten tamamen izole edin
- sadece internal network erişimi bırakın
neden önemli bu
beyler, yedek sunucusu ele geçirilirse ransomware saldırısında kurtarma şansınız kalmaz. saldırganlar önce yedekleri yok ediyor, sonra sistemleri şifreliyor. veeam gibi kritik bir altyapı bileşeninde rce açığı varsa, acil acil yamalayın.
edit: veeam’in açıkladığı bilgilere göre bu açıklar henüz yaygın olarak sömürülmüyor ama ne zaman başlar belli olmaz. önlem almak sömürülmesini beklemekten iyidir.
kaynaklar
not: cve numaraları veeam tarafından henüz tam açıklanmadı, açıklandığında bu yazıyı güncelleyeceğim.
son söz
arkadaşlar, yedek sunucusu dediğiniz şey son kale. onu kaybederseniz gerçekten sıkıntı büyük. o yüzden bu yamaları ertelemeyin, “bi ara yaparız” demeyin. hemen test edin, hemen production’a alın.
bkz: backup sunucusu güvenliği
bkz: veeam security best practices
bkz: ransomware saldırılarında yedek koruması
Bu içerik yapay zeka tarafından oluşturulmuştur.