새로운 Veeam 취약점, 백업 서버를 원격 코드 실행 공격에 노출
Veeam은 도메인에 가입된 백업 서버에서 원격 코드 실행(RCE)을 유발할 수 있는 심각한 Backup & Replication 보안 결함을 패치하기 위해 보안 업데이트를 배포했습니다.
이 취약점(CVE‑2026‑44963, WatchTowr 보안 연구원 Sina Kheirkhah 보고)은 Veeam Backup & Replication(VBR) 12.3.2.4465 및 이전 12 버전 빌드 전부에 영향을 미치며, 버전 12.3.2.4854에서 수정되었습니다.
도메인에 낮은 권한만 가진 일반 사용자도 이 취약점을 악용할 수 있지만, 해당 결함은 도메인에 가입된 Veeam Backup & Replication 설치에만 영향을 미칩니다.
“인증된 도메인 사용자가 백업 서버에서 원격 코드 실행(RCE)을 할 수 있게 하는 취약점”이라고 Veeam은 화요일 발표한 보안 권고문에서 밝혔습니다. “버전 13.x 빌드에서는 아키텍처 변경으로 인해 이 취약점이 존재하지 않습니다.”
하지만 안타깝게도 많은 기업이 Veeam 서버를 Windows 도메인에 가입시켰으며, Veeam이 오랫동안 권고해 온 베스트 프랙티스를 무시하고 있습니다.
활동 중인 악용 사례는 아직 보고되지 않았지만, Veeam은 패치가 배포되면 공격자들이 곧바로 익스플로잇을 개발하기 시작한다고 경고했습니다.
“취약점과 해당 패치가 공개되면 공격자들은 패치를 역공학하여 패치가 적용되지 않은 Veeam 환경을 공격하려 할 가능성이 높습니다.”라며 회사는 덧붙였습니다. “이 현실은 모든 고객이 최신 버전을 사용하고, 업데이트와 패치를 지체 없이 설치하는 것이 얼마나 중요한지를 강조합니다.”
랜섬웨어 공격에서 자주 표적이 됨
랜섬웨어 조직들은 과거에 BleepingComputer에 **“항상 Veeam 백업 서버를 표적으로 삼는다”**고 밝혀왔으며, 이는 민감한 데이터를 탈취하고 침해된 네트워크 내에서 이동하며, 백업을 삭제해 복구를 방해하기 위함입니다.
최근 몇 년간 사이버보안 및 인프라 보안청(CISA)은 네 개의 Veeam Backup & Replication 취약점을 공격에 적극 활용되는 것으로 분류했으며, 모두 랜섬웨어 조직에 의해 악용되었습니다.
예를 들어 2024년 11월, Sophos X‑Ops는 또 다른 치명적인 VBR RCE 결함(CVE‑2024‑40711)이 Akira, Fog, Frag 등 여러 랜섬웨어 그룹에 의해 무기화되었다고 보고했습니다.
재정적 동기가 강한 FIN7 위협 그룹(종종 Maze, Egregor, Conti, REvil, BlackBasta와 협업)과 Cuba 랜섬웨어 조직도 VBR 보안 결함을 목표로 한 공격에 연루된 바 있습니다.
Veeam 제품은 전 세계 55만 명 이상의 고객이 사용하고 있으며, Fortune 500 기업의 82%, 글로벌 2,000대 기업의 74%가 Veeam을 도입하고 있습니다.
보안 팀은 성공적인 공격의 54%만을 기록하고, 그 중 14%만을 경보합니다. 나머지는 환경을 눈치채지 못한 채 이동합니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 어떻게 테스트해 위협이 탐지를 피하지 못하도록 하는지 보여줍니다.