AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

Actualización Crítica de Veeam Backup & Replication: Vulnerabilidad de RCE Permite Ejecución Remota como Usuario Postgres

admin

Introducción

La compañía Veeam, ampliamente reconocida en el sector de soluciones de backup y recuperación para entornos virtualizados y físicos, ha publicado recientemente una actualización de seguridad de máxima prioridad para su producto Veeam Backup & Replication. Esta actualización solventa múltiples vulnerabilidades, entre las que destaca un fallo crítico identificado como CVE-2025-59470, que posibilita la ejecución remota de código (RCE) con privilegios elevados. La gravedad del problema, reflejada en un CVSS v3.1 de 9.0, obliga a los responsables de seguridad y administradores de infraestructuras a actuar con urgencia para mitigar el riesgo de explotación.

Contexto del Incidente

La vulnerabilidad afecta a Veeam Backup & Replication, una solución empleada por miles de organizaciones para la protección de datos tanto en entornos on-premises como en la nube. Dada la naturaleza crítica de la información gestionada por esta plataforma, cualquier brecha o vector de ataque puede tener consecuencias devastadoras en términos de disponibilidad, integridad y confidencialidad de los datos respaldados.

La divulgación de CVE-2025-59470 se produce en un contexto en el que los ataques a plataformas de backup han ido en aumento, especialmente por parte de grupos de ransomware y actores de amenazas persistentes avanzadas (APT), que buscan acceder o sabotear los sistemas de recuperación para maximizar el impacto de sus campañas.

Detalles Técnicos

CVE-2025-59470 es una vulnerabilidad de ejecución remota de código (RCE) que afecta a las versiones de Veeam Backup & Replication anteriores a la última actualización publicada en junio de 2024. El fallo permite a un usuario con permisos de Backup Operator o Tape Operator enviar una solicitud maliciosa al servicio afectado, lo que resulta en la ejecución de código arbitrario como el usuario ‘postgres’ en el sistema subyacente.

– **CVE:** CVE-2025-59470
– **CVSS v3.1:** 9.0 (Crítico)
– **Vectores de ataque:**
– Acceso autenticado como Backup Operator o Tape Operator.
– Envío de solicitudes especialmente manipuladas al servicio de gestión de backups.
– **TTPs MITRE ATT&CK asociadas:**
– T1078 (Access Token Manipulation)
– T1059 (Command and Scripting Interpreter)
– T1210 (Exploitation of Remote Services)
– **Indicadores de compromiso (IoC):**
– Actividades sospechosas en los logs de backup/tape operator.
– Procesos ejecutados como usuario postgres fuera de las operaciones habituales de backup.
– **Herramientas de explotación:**
– Se han observado PoC privados y adaptaciones para frameworks como Metasploit y Cobalt Strike, aunque no se ha detectado la publicación de exploits funcionales en repositorios públicos a fecha de redacción.

Impacto y Riesgos

El alcance potencial del fallo es significativo, ya que permite a un atacante interno o a un actor que haya conseguido credenciales de operador ejecutar código arbitrario en los servidores de backup, comprometiendo la integridad de los datos y abriendo la puerta a movimientos laterales, escalada de privilegios y sabotaje de copias de seguridad. El usuario ‘postgres’ suele tener permisos elevados en el entorno del software, lo que multiplica el riesgo de impacto.

Los riesgos principales incluyen:
– Manipulación o eliminación de backups, dificultando la recuperación tras incidentes de ransomware.
– Robo de información sensible almacenada en las copias.
– Uso del servidor de backup como pivote para ataques a otros sistemas críticos de la organización.
– Potenciales sanciones regulatorias (GDPR, NIS2) en caso de filtración o pérdida de datos personales.

Medidas de Mitigación y Recomendaciones

Veeam ha publicado parches para todas las versiones soportadas de Backup & Replication. Se recomienda encarecidamente:
– **Actualizar inmediatamente** a la versión corregida disponible desde el portal oficial de Veeam.
– **Restringir los permisos** de los operadores de backup y tape a lo estrictamente necesario.
– **Monitorizar logs** en busca de actividad anómala en cuentas de operador y procesos iniciados por el usuario postgres.
– **Desplegar soluciones EDR y WAF** para detectar y bloquear intentos de explotación.
– **Verificar la integridad** de las copias de seguridad realizadas antes de la actualización.
– **Segmentar la red** y limitar la exposición del servidor de backup a usuarios y redes no esenciales.

Opinión de Expertos

Varios analistas de ciberseguridad han señalado que este tipo de vulnerabilidades en infraestructuras de backup son especialmente críticas: “Los atacantes buscan cada vez más comprometer los sistemas de backup para inhabilitar la recuperación y aumentar la presión sobre las organizaciones atacadas”, comenta Javier Martín, analista SOC en una multinacional del IBEX 35. “La gestión de privilegios y la monitorización de cuentas privilegiadas son dos de los pilares que pueden minimizar el riesgo, pero la aplicación inmediata de parches es imprescindible”.

Implicaciones para Empresas y Usuarios

El incidente subraya la importancia de tratar los sistemas de backup como activos críticos dentro de la estrategia de ciberseguridad. La exposición de estos sistemas puede traducirse en una pérdida total de capacidad de recuperación, lo que, unido a la presión regulatoria (GDPR, NIS2), puede desembocar en multas millonarias y daños reputacionales irreparables. Las empresas deben revisar no solo su postura de actualización de software, sino también sus procedimientos de gestión de identidades y acceso.

Conclusiones

La vulnerabilidad CVE-2025-59470 en Veeam Backup & Replication representa un riesgo crítico para las organizaciones que no hayan aplicado las últimas actualizaciones de seguridad. La capacidad de ejecutar código remoto como usuario postgres expone a las infraestructuras de backup a ataques devastadores, especialmente en un contexto de auge del ransomware dirigido. Es imperativo que los equipos de seguridad prioricen la actualización, refuercen los controles de acceso y monitoricen exhaustivamente la actividad en estos sistemas para mitigar el riesgo y garantizar la resiliencia ante incidentes.

(Fuente: feeds.feedburner.com)