La seguridad de las copias de seguridad se ha convertido en el último bastión de defensa contra el cibercrimen, y este marzo de 2026, ese bastión ha mostrado grietas preocupantes. Veeam ha lanzado una actualización de emergencia para corregir un conjunto de 7 vulnerabilidades críticas en su software estrella, Backup & Replication. Los fallos, descubiertos tanto internamente como a través de programas de recompensa, exponen a las empresas a uno de los peores escenarios posibles: el compromiso total de sus repositorios de datos por parte de atacantes externos.
Ejecución de código con privilegios de sistema
El núcleo de la alerta reside en cuatro fallos de ejecución remota de código (RCE) catalogados con puntuaciones CVSS de hasta 9.9/10. Vulnerabilidades como las registradas bajo los códigos CVE-2026-21666 y CVE-2026-21667 permiten que un usuario autenticado en el dominio, incluso con privilegios mínimos, ejecute comandos arbitrarios en el servidor de backup.
Aún más alarmante es el CVE-2026-21708, que permite a un usuario con rol de simple "Backup Viewer" escalar su capacidad operativa para ejecutar código como usuario de la base de datos PostgreSQL interna, tomando el control de los procesos del backend. En la práctica, esto significa que cualquier cuenta comprometida dentro de la red corporativa podría ser la puerta de entrada para destruir o secuestrar la infraestructura de recuperación.
El objetivo final: Ransomware dirigido
Para los grupos de ransomware, un servidor de backup vulnerable es el "Santo Grial". Al comprometer Veeam, los atacantes no solo pueden cifrar los datos en producción, sino que pueden eliminar las copias de seguridad o cifrarlas primero, dejando a la empresa sin ninguna capacidad de restauración y forzándola al pago del rescate.
Además de los fallos de RCE, se han corregido vulnerabilidades de escalada de privilegios local (CVE-2026-21672) en servidores Windows y fallos que permiten la extracción de credenciales SSH guardadas. Esto facilita el movimiento lateral de los atacantes hacia infraestructuras virtuales (VMware, Hyper-V) y entornos de nube, ampliando el radio de impacto de una sola brecha.
Acción inmediata: Actualizar o quedar expuesto
Veeam ha sido contundente: una vez que se publica el parche, los atacantes comienzan a realizar ingeniería inversa para crear exploits que ataquen a los sistemas que aún no han actualizado. Las versiones afectadas incluyen Veeam Backup & Replication 12.3.2.4165 y todas las compilaciones anteriores de la versión 12 y 13.
La solución pasa por actualizar inmediatamente a las versiones 12.3.2.4465 o 13.0.1.2067, según la rama que utilice su organización. En un entorno donde la disponibilidad del dato es la columna vertebral del negocio, posponer este parche no es una opción; es un riesgo sistémico que ningún administrador de sistemas debería asumir en 2026.
0 Comentarios