Veeam corrige falha crítica que permite execução remota de código em servidores de backup
A Veeam lançou correções de segurança para eliminar uma vulnerabilidade considerada crítica em sua solução Backup & Replication. A falha, catalogada como CVE-2026-44963, permite que um usuário de domínio autenticado execute código remotamente no servidor de backup, abrindo espaço para comprometer toda a infraestrutura protegida por esse ambiente.
Segundo comunicado oficial da empresa, a vulnerabilidade recebeu pontuação 9,4 na escala CVSS, o que a posiciona na faixa de risco mais alto. A descoberta foi creditada ao pesquisador de segurança Sina Kheirkhah, da empresa watchTowr, que reportou o problema ao fabricante.
O erro afeta especificamente o Veeam Backup & Replication na versão 12.3.2.4465 e todas as compilações anteriores dentro da família 12.x. A correção foi incorporada na versão 12.3.2.4854, já disponibilizada para os clientes. A Veeam ressalta que os builds da linha 13.x não são impactados, graças a alterações arquiteturais introduzidas a partir dessa versão.
Um ponto importante é que o impacto da falha está restrito a servidores de backup que estejam ingressados em um domínio. Em outras palavras, o ataque só é possível quando o servidor Veeam faz parte de um ambiente de domínio e quando o invasor possui credenciais de usuário de domínio válidas. Ainda assim, o risco é elevado, já que servidores de backup são alvos prioritários em ataques sofisticados, principalmente aqueles associados a ransomware.
A vulnerabilidade permite que um usuário autenticado no domínio explore o servidor de backup para executar códigos arbitrários de forma remota. Na prática, isso pode permitir desde o roubo de dados sensíveis e credenciais até o sequestro completo do ambiente de backup, possibilitando a exclusão, criptografia ou manipulação de cópias de segurança. Como o backup é a última linha de defesa em incidentes de segurança, qualquer brecha nesse ponto é extremamente crítica.
A documentação técnica da Veeam, descrita em seu artigo KB4869, reforça que apenas servidores ingressos em domínio são afetados pelo problema. Mesmo assim, a recomendação do fabricante é clara: todos os administradores devem atualizar imediatamente para a versão corrigida 12.3.2.4854, sempre que possível, priorizando os servidores de produção e aqueles mais expostos a acessos de múltiplos usuários.
A empresa também alerta que versões que já não são oficialmente suportadas não foram testadas contra essa vulnerabilidade. No entanto, a Veeam orienta que tais versões sejam consideradas potencialmente vulneráveis, justamente por reproduzirem a mesma base de código afetada. Dessa forma, ambientes legados não devem ser ignorados na estratégia de correção: se não puderem ser atualizados, precisam, no mínimo, de medidas de mitigação adicionais.
Essa não é a primeira vez que o Veeam Backup & Replication se vê no centro de alertas de segurança. Em março de 2026, a empresa já havia emitido uma rodada de patches para corrigir múltiplas vulnerabilidades críticas que também poderiam levar à execução remota de código. Algumas dessas falhas acabaram sendo exploradas por grupos maliciosos, inclusive operadores de ransomware, o que reforça a tendência de que produtos de backup estejam no radar constante dos criminosos.
Para organizações que, por limitações operacionais, não conseguem aplicar a atualização de imediato, a Veeam sugere algumas atitudes de contenção temporária. Entre elas, a remoção do servidor de backup do domínio – quando tecnicamente viável – ou a aplicação de controles de acesso muito mais restritivos, com segmentação de rede, limitação de contas com permissão de login e monitoramento reforçado de acessos e atividades suspeitas.
Além disso, a empresa recomenda que equipes de segurança e de infraestrutura revisem as permissões de usuários de domínio que têm qualquer tipo de acesso ao servidor de backup. Privilégios excessivos, contas compartilhadas e credenciais antigas não revogadas ampliam significativamente a superfície de ataque em cenários como esse.
Para os administradores, o caminho mais seguro envolve um processo em três etapas: identificação, correção e endurecimento (hardening). Primeiro, é essencial mapear quais instâncias do Veeam Backup & Replication estão em execução, suas versões e se estão ingressadas em domínio. Em seguida, é preciso aplicar a atualização para a versão 12.3.2.4854 (ou superiores não afetadas). Por fim, revisar configurações de segurança, segmentação de rede, autenticação e monitoramento para reduzir o impacto de qualquer eventual vulnerabilidade futura.
Do ponto de vista de gestão de risco, essa falha reforça uma lição frequentemente negligenciada: soluções de backup não são meros componentes de retaguarda, mas partes críticas da estratégia de segurança. Quando um atacante compromete o sistema de backup, ele não só amplia o alcance do ataque, como também remove a capacidade da organização de se recuperar de forma rápida e confiável.
Em ambientes que adotam modelos de defesa em profundidade, é recomendável tratar o servidor de backup quase como um ativo tão sensível quanto um controlador de domínio ou um cofre de senhas. Isso inclui isolar o servidor em segmentos de rede específicos, restringir o acesso via VPN ou jump servers, adotar autenticação multifator sempre que possível e registrar detalhadamente todas as ações administrativas.
Outro ponto relevante é a necessidade de testar regularmente os planos de recuperação de desastres. Atualizar o software e corrigir vulnerabilidades é crucial, mas também é importante garantir que, em caso de incidente, os backups possam ser restaurados com rapidez e integridade. Uma boa prática é realizar simulações periódicas de recuperação, usando cópias de backup recentes, para validar não apenas a tecnologia, mas também os processos e a coordenação entre equipes.
A vulnerabilidade CVE-2026-44963 também evidencia o valor de programas de bug bounty e colaboração com pesquisadores de segurança. A descoberta responsável e o reporte à Veeam permitiram que a falha fosse corrigida antes de um potencial uso massivo em ataques. Para as empresas usuárias da solução, acompanhar boletins de segurança do fornecedor e manter um ciclo de atualização contínuo é tão importante quanto investir em novas ferramentas.
Por fim, as organizações que utilizam Veeam Backup & Replication devem incorporar esse episódio ao seu aprendizado interno. Vale a pena revisar as políticas de atualização, definir janelas de manutenção mais frequentes para sistemas críticos, estabelecer critérios objetivos para priorizar patches de segurança e garantir que a área de TI tenha autonomia e recursos para agir com rapidez quando surgirem vulnerabilidades de alta severidade.
Em resumo, a correção da falha CVE-2026-44963 é urgente e não deve ser adiada. Atualizar para a versão 12.3.2.4854, reforçar controles de acesso, avaliar a necessidade de desassociar o servidor de backup do domínio e revisar o modelo de segurança em torno do ambiente de backup são passos essenciais para reduzir o risco de incidentes graves e preservar a capacidade de recuperação da organização diante de ataques cada vez mais sofisticados.