veeam backup & replication'da kritik rce açığı, domain kullanıcıları bile kod çalıştırabiliyor
arkadaşlar, veeam backup & replication’da ciddi bir açık bulunmuş. CVE-2026-44963 numaralı bu zafiyet sayesinde domain kullanıcıları bile backup sunucusunda uzaktan kod çalıştırabiliyor. yani şöyle ki, normalde yedek işleriyle alakası olmayan bir domain kullanıcısı bile bu açığı kullanarak backup sunucunuza girebilir, kod çalıştırabilir.
spoiler: cvss skoru 9.4, yani kritik seviyede. hemen yamalayın bunu.
ne var ne yok bu açıkta
CVE-2026-44963 açığı, authenticated bir domain kullanıcısının (yani domain’e giriş yapabilen herhangi bir kullanıcı) backup sunucusunda uzaktan kod çalıştırmasına (rce - remote code execution) izin veriyor.
şöyle düşünün: ofiste mail atan, excel’de çalışan sıradan bir kullanıcı hesabı ele geçirilse bile, saldırgan bu açıkla backup sunucunuza girebilir. backup sunucusu dedikleri şey de zaten firmanızın tüm kritik verilerinin yedeklerinin olduğu yer. yani işin ciddiyeti ortada.
zafiyet detayları:
- cvss skoru: 9.4/10.0 (kritik 🔴)
- zafiyet türü: remote code execution (rce)
- saldırı vektörü: network (ağ üzerinden)
- yetkilendirme: low privileged domain user yeterli
- etki: backup sunucusunda tam yetki
etkilenen sistemler
| Ürün | Durum |
|---|---|
| Veeam Backup & Replication | ✅ Etkileniyor (yamalı sürüme güncelleyin) |
| Veeam ONE | ❌ Etkilenmiyor |
| Veeam Agent | ❌ Etkilenmiyor |
edit: veeam advisory’sinde hangi versiyonların etkilendiğini ve hangi versiyona güncellemeniz gerektiğini belirtmiş. mutlaka kontrol edin.
şimdi ne yapacaksınız
agalar, backup sunucusu kritik bir sistem. hem tüm verilerinizin yedeği orada, hem de ransomware saldırılarında ilk hedef oluyor bu sunucular. o yüzden hemen aksiyona geçin:
1. önce versiyonunuzu kontrol edin
# veeam backup sunucusunda powershell'i açın
Get-ItemProperty "HKLM:\SOFTWARE\Veeam\Veeam Backup and Replication" | Select-Object -ExpandProperty CoreVersion
2. yamalı versiyona güncelleyin
veeam’in resmi sitesinden güncel yamayı indirin ve uygulayın. ama dikkat, önce test ortamında deneyin. backup sunucusu öyle kolay kolay güncellenecek sistem değil, bir şey ters giderse tüm yedekleme altyapınız durabilir.
# güncelleme öncesi mutlaka:
# 1. veeam configuration backup alın
# 2. sunucunun snapshot'ını alın (mümkünse)
# 3. test ortamında deneyin
# 4. bakım penceresi açın
3. domain kullanıcı erişimlerini gözden geçirin
bu arada, bu açık domain kullanıcılarının backup sunucusuna erişebilmesinden kaynaklanıyor. şu kontrolü yapın:
# backup sunucusunda hangi domain kullanıcılarının/gruplarının erişimi var?
# veeam console'dan: Users and Roles kısmını kontrol edin
# gereksiz yetkileri temizleyin
geçici çözümler (yamayı hemen uygulayamayanlar için)
eğer bakım penceresi bulamadıysanız veya güncelleme için hazırlık yapıyorsanız, şu önlemleri alın:
- network segmentasyonu: backup sunucusunu ayrı bir vlan’a alın, sadece gerekli sunuculardan erişim verin
- firewall kuralları: backup sunucusuna sadece yedekleme işi yapan sunuculardan erişim olsun
- monitoring: backup sunucusunda anormal aktivite izleyin (beklenmeyen process’ler, network bağlantıları)
- domain user kontrolü: least privilege prensibine göre domain kullanıcılarının yetkilerini gözden geçirin
# backup sunucusunda process monitoring
# şüpheli powershell, cmd veya script çalışmalarını izleyin
Get-Process | Where-Object {$_.ProcessName -match "powershell|cmd|wscript"}
neden bu kadar önemli
arkadaşlar, son yıllarda ransomware çeteleri backup sistemlerini öncelikli hedef alıyor. mantık şu: eğer backup’ları da şifreleyebilirlerse, kurban fidye ödemek zorunda kalıyor.
veeam dünyanın en yaygın backup çözümlerinden biri. bu açık sayesinde saldırganlar:
- domain kullanıcısı ele geçiriyorlar (phishing, credential stuffing vs)
- bu açıkla backup sunucusuna giriyorlar
- tüm backup’ları siliyorlar veya şifreliyorlar
- sonra ana sistemlere ransomware salıyorlar
- “backup’ınız da yok, fidye ödeyin” diyorlar
yani şaka değil bu iş, hemen yamalayın.
monitoring ve log kontrolü
güncelleme yaptıktan sonra da şu kontrolleri yapın:
# veeam event log'larını kontrol edin
Get-EventLog -LogName "Veeam Backup" -Newest 1000 |
Where-Object {$_.EntryType -eq "Error" -or $_.EntryType -eq "Warning"}
# beklenmeyen kullanıcı aktivitelerini arayın
# özellikle domain user'ların backup job oluşturma, silme gibi işlemlerini
kaynaklar
- CVE-2026-44963 - official cve kaydı
- Veeam Security Advisory - resmi güvenlik bildirimi
- The Hacker News - Orijinal Haber
özet: veeam backup & replication’da CVE-2026-44963 açığı bulunmuş. domain kullanıcıları bile backup sunucusunda kod çalıştırabiliyor. cvss 9.4, yani kritik seviye. hemen yamalayın, backup sunucusu ele geçerse zaten oyun biter. önce test ortamında deneyin, sonra production’a geçin. yedek almadan güncelleme yapmayın.
bkz: backup sunucusu güvenliği, ransomware saldırıları, domain user yetkilendirmesi
Bu içerik yapay zeka tarafından oluşturulmuştur.