概要
Veeam Backup & Replication(VBR)に、CVSSスコア9.4の重大なリモートコード実行(RCE)脆弱性CVE-2026-44963が発見された。影響を受けるのはバージョン12.3.2.4465以前のすべてのv12系ビルドで、Windowsドメインに参加しているバックアップサーバー上で、認証済みの低権限ドメインユーザーが任意のコードをリモート実行できる。脆弱性はwatchTowrの研究者Sina Kheirkhah氏が責任ある開示のプロセスで報告した。Veeamは修正済みバージョン12.3.2.4854を既にリリースしており、すべてのユーザーに対して早急なアップデートを推奨している。
技術的な詳細
本脆弱性の悪用条件は、バックアップサーバーがWindowsドメインに参加していることだ。これはVeeam自身がセキュリティ上のベストプラクティスとして「バックアップサーバーをドメインに参加させないこと」を推奨しているにもかかわらず、多くの環境でドメイン参加が行われているという現実を突いた攻撃経路となっている。攻撃者はActive Directory環境のごく低い権限のアカウントを持つだけで、バックアップサーバー上で任意コードを実行し、システム全体の侵害につなげることができる。なお、バージョン13.x系はアーキテクチャの変更により本脆弱性の影響を受けない。
影響範囲と対策
Veeamは世界55万社以上の顧客を抱え、Fortune 500企業の82%が同製品を導入している。バックアップサーバーはランサムウェアグループにとって最優先の標的であり、侵害されるとデータ窃取やバックアップ機能の無効化によって被害組織の復旧を阻むことができる。過去にはVBRの4件の脆弱性がCISAによって積極的に悪用が確認されたとして警告されており、今回も修正パッチのリリース後にリバースエンジニアリングを通じた攻撃の試みが加速する可能性が高いとVeeam自身も警告している。対策としては、バージョン12.3.2.4854への即時アップデートに加え、バックアップサーバーをドメインから切り離すというVeeamの推奨ベストプラクティスへの準拠が重要となる。