Cuando una copia de seguridad se convierte en una vulnerabilidad: Veeam creó por error la puerta de entrada perfecta para los hackers
Alertan a administradores de Veeam: actualicen ya a la 13.0.1.1071 por errores críticos en la rama 13
Las copias de seguridad suelen considerarse la última línea de defensa, pero esta semana Veeam recordó que los propios sistemas de respaldo también pueden convertirse en un punto de entrada para un ataque. La compañía publicó actualizaciones de seguridad para Backup & Replication, corrigiendo varias vulnerabilidades, entre las cuales se encuentra un problema de alto riesgo de ejecución remota de código.
La más destacada recibió el identificador CVE-2025-59470 (puntuación CVSS: 9.0). Según la descripción de Veeam, un atacante con el rol Backup Operator o Tape Operator puede lograr la ejecución remota de código (RCE) como el usuario postgres, proporcionando parámetros maliciosos interval u order. En el boletín, Veeam subraya que, pese a la calificación «critical» en CVSS, la compañía clasifica la vulnerabilidad como de alta gravedad (high severity), porque el exploit requiere roles ya muy privilegiados, y si se siguen las recomendaciones de seguridad de Veeam la ventana para el abuso se reduce considerablemente.
Los roles ofrecen realmente muchas posibilidades. Backup Operator puede, por ejemplo, iniciar y detener trabajos existentes, exportar y copiar copias de seguridad, así como crear VeeamZip. Tape Operator gestiona las operaciones con cintas: inicia trabajos de copia en cinta y de catálogo, importa y exporta cintas, las borra, establece contraseñas y realiza otras acciones. En otras palabras, no son «usuarios comunes», y en un entorno correctamente configurado el acceso a esas cuentas debe estar lo más restringido posible y bien controlado.
Aparte de CVE-2025-59470 se corrigieron otras 3 vulnerabilidades en el mismo producto: CVE-2025-55125 (puntuación CVSS: 7.2), en la que Backup o Tape Operator puede lograr RCE ya como root mediante un archivo de configuración de copia de seguridad malicioso; CVE-2025-59468 (puntuación CVSS: 6.7), en la que Backup Administrator puede ejecutar código como postgres mediante el parámetro password; y CVE-2025-59469 (puntuación CVSS: 7.2), que permite a Backup o Tape Operator escribir archivos como root. Las cuatro fallas afectan a Veeam Backup & Replication 13.0.1.180 y compilaciones anteriores de la rama 13, y las correcciones se publicaron en la versión 13.0.1.1071.
Veeam no informa de explotaciones en ataques reales, pero conviene no posponer la actualización: los productos de copia de seguridad suelen ser de interés para operadores de ransomware y equipos de post-explotación, porque el acceso al servidor de copias de seguridad a menudo significa acceso a toda la infraestructura de recuperación.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla