出典: Security NEXT – https://www.security-next.com/182100
Veeam製バックアップ管理ソフトに深刻な脆弱性が発覚、緊急アップデートが公開
バックアップソフトウェア大手のVeeam Softwareが提供する「Veeam Backup & Replication」に複数の深刻な脆弱性が見つかりました。これを受けて、同社は2026年3月11日に重要なセキュリティアップデートをリリースしました。
主要なポイント
- 複数の脆弱性を修正:バージョン13.0.1.2067および12.3.2.4465で、それぞれ5件の脆弱性に対応。
- クリティカルな脆弱性の存在:13.0.1.2067で修正された脆弱性のうち3件は、最も深刻な「クリティカル(Critical)」評価。
- リモートコード実行の危険性:認証済みドメインユーザーやバックアップ管理者権限者がリモートから任意のコードを実行可能な脆弱性を含む。
- 具体的な脆弱性例:「CVE-2026-21669」「CVE-2026-21708」「CVE-2026-21671」などが特に高リスクと評価されている。
- CVSSスコアの高さ:最も深刻な脆弱性はCVSSv3.1で9.9点とほぼ最大値に近い。
技術的な詳細や背景情報
今回修正された脆弱性の中で特に注目されるのは、リモートコード実行(RCE: Remote Code Execution)に関わる問題です。RCE脆弱性は攻撃者が遠隔から任意のプログラムを実行できるため、システムの完全な制御を奪われる恐れがあります。
例えば「CVE-2026-21669」は、認証されたドメインユーザーがバックアップサーバ上でリモートコードを実行できる問題です。また、「CVE-2026-21708」は「Backup Viewer」機能がPostgreSQLの「postgres」権限で動作していることを悪用し、リモートからコード実行が可能でした。さらに「CVE-2026-21671」はVeeam Software Applianceの高可用性(HA)運用環境において、バックアップ管理者権限を持つユーザーがリモートコード実行できる脆弱性です。
これらの脆弱性は、共通脆弱性評価システム(CVSSv3.1)において、9.9や9.1と非常に高いスコアを獲得しており、攻撃者にとって魅力的な攻撃対象となります。
影響や重要性
Veeam Backup & Replicationは企業の重要なデータを保護するバックアップ管理ソフトウェアであり、広く利用されています。これらの脆弱性が悪用されると、企業のバックアップサーバが乗っ取られ、データの改ざんや消失、さらにはランサムウェア攻撃の踏み台にされるリスクがあります。
特に認証ユーザーがリモートからコードを実行できる点は、内部の脅威や権限を持つ攻撃者による悪用を許すため、セキュリティ対策の観点から極めて深刻です。迅速なアップデート適用が求められます。
まとめ
Veeam Backup & Replicationに存在した複数の深刻な脆弱性は、リモートコード実行を許すなど重大なリスクをはらんでいます。Veeam Softwareは既に修正パッチをリリースしているため、利用者は速やかにアップデートを適用し、システムの安全性を確保することが不可欠です。
バックアップソフトは企業のデータ保護の要であるため、こうした脆弱性の早期発見と対応は、情報セキュリティの根幹を守る上で非常に重要です。今後も継続的な監視とアップデートを怠らないようにしましょう。
