Veeam, uma das empresas mais conhecidas em proteção e recuperação de dados, publicou adesivos para corrigir várias vulnerabilidades críticas em sua solução Veeam Backup & Replication (VBR). Estas falhas incluem quatro vulnerabilidades de execução remota de código (RCE) que, em condições concretas, permitem a usuários com privilégios reduzidos executar código nos servidores de cópia de segurança, o que transforma uma ferramenta projetada para proteger dados em um vetor de ataque perigoso se não for atualizado rapidamente.
Veeam Backup & Replication é uma peça central em muitas infra-estruturas empresariais: serve para criar e manter cópias de segurança que permitem restaurar sistemas após falhas de hardware ou incidentes de segurança. Precisamente por essa posição privilegiada nas redes – e pela grande quantidade de dados críticos que maneja –, qualquer vulnerabilidade em VBR pode ter consequências muito graves. Veeam publica as correções e notas técnicas em suas bases de conhecimento; neste caso as soluções estão incluídas nas versões 12.3.2.4465 e 13.0.1.2067.
Das quatro RCE identificadas, três permitem a usuários de domínio com permissões reduzidas lançar código de forma remota sobre servidores de cópia de segurança com um nível de complexidade baixo. Estas três são seguidas publicamente como CVE-2026-21666, CVE-2026-21667 e CVE-2026-21669. A quarta CVE-2026-21708 é particularmente preocupante porque permite a um perfil de menor privilégio chamado Backup Viewer escalar e executar código como o usuário da base de dados pós-gres no servidor de VBR.
Além dos RCE, a Veeam corrigiu várias falhas de alta gravidade que podem ser aproveitadas para escalar privilégios em servidores Windows que executam VBR, extrair credenciais SSH guardadas ou contornar restrições para manipular arquivos em repositórios de cópia. Segundo a empresa, essas vulnerabilidades foram detectadas tanto em testes internos como através de relatórios apresentados na plataforma HackerOne, e já estão resolvidas nas versões indicadas.
A recomendação do Veeam não deixa dúvidas: atualizar o quanto antes. A própria empresa sublinha que uma vez que um adesivo e sua vulnerabilidade associada são públicos, é habitual que atores maliciosos tentem investir engenharias sobre o adesivo para desenvolver exploits contra instalações sem atualizar. O Veeam expõe esta advertência em suas notas técnicas, convidando todos os clientes a instalar atualizações sem demora ( Mais informações em seu aviso).
A urgência não é apenas teórica. Nos últimos anos, os servidores de backup, e VBR em particular, têm sido alvo recorrentes de grupos de ransomware e bandas cibercriminais porque comprometer as cópias de segurança facilita a imposição de resgates: apagar ou criptografar backups impede a recuperação e aumenta a pressão para pagar. Agrupamentos com história de ataques direcionados aproveitaram este tipo de vetores; por exemplo, foram ligados a incidentes passados atores como FIN7 e a banda Cuba, e documentados como variantes de ransomware exploraram falhas em VBR em campanhas recentes para se mover lateralmente, roubar dados e dificultar as restaurações.
A ameaça agrava-se porque muitos fornecedores de serviços gerenciados e empresas medianas ou grandes confiam na Veeam: segundo dados corporativos, as soluções da empresa têm presença ampla no mercado e são utilizadas por centenas de milhares de clientes em todo o mundo. Essa densidade de implantação converte qualquer falha em VBR numa oportunidade atraente para aqueles que procuram maximizar o impacto de um ataque.
Para administradores e responsáveis pela segurança, a lógica é clara: aplicar as atualizações oficiais da Veeam o mais rapidamente possível e não atrasá-las. Complementariamente, convém rever as configurações de acesso, auditar registros em busca de atividade incomum, rotar credenciais armazenadas e limitar o acesso administrativo aos servidores de cópia. Também é prudente considerar medidas adicionais como segmentação de rede para isolar os servidores de backup de outras áreas críticas, e controles de integridade e monitoramento que detectem mudanças não autorizadas em arquivos e serviços.
A janela de exposição após a publicação de um adesivo é normalmente curta porque o conhecimento da falha e do código do adesivo permitem a atacantes com suficiente habilidade criar exploits em pouco tempo. Por isso, para além do carácter técnico das correcções, o decisivo é a rapidez com que as organizações planifiquem e implementem essas actualizações em seus ambientes.
Se necessitar de consultar detalhes técnicos específicos das vulnerabilidades ou verificar a versão instalada, os avisos oficiais da Veeam e as entradas da NVD oferecem descrições e referências técnicas úteis: as RCE estão registradas no NVD como CVE-2026-21666, CVE-2026-21667, CVE-2026-21669 e CVE-2026-21708, enquanto as correcções e recomendações de mitigação são publicadas nas notas da empresa: 12.3.2.4465 e 13.0.1.2067.
No mundo da cibersegurança, as ferramentas que nos protegem também devem ser cuidadosamente mantidas. Não se trata apenas de aplicar adesivos por protocolo, mas sim de entender que os servidores de backup são objetivos de alto valor: deixá-los sem atualizar equivale a deixar uma porta traseira aberta na casa onde guardamos nossas cópias mais valiosas. Actualizar, auditar e segmentar são passos que hoje devem estar no centro das prioridades operacionais.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...