14/69 (IT) ประจำวันศุกร์ที่ 9 มกราคม 2569
บริษัท Veeam ได้เผยแพร่อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่หลายรายการในซอฟต์แวร์ Veeam Backup & Replication โดยมีช่องโหว่สำคัญที่ถูกจัดอยู่ในระดับความรุนแรงสูง ที่หมายเลข CVE-2025-59470 (คะแนน CVSS 9.0) ที่อาจทำให้เกิดการสั่งรันโค้ดจากระยะไกล (Remote Code Execution: RCE) ได้ โดยช่องโหว่ดังกล่าวทำให้ผู้ใช้งานที่มีบทบาท Backup หรือ Tape Operator สามารถอาศัยพารามิเตอร์ที่ถูกปรับแต่งเป็นพิเศษ เช่น interval หรือ order เพื่อสั่งรันโค้ดในสิทธิ์ของผู้ใช้ postgres ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบจากการทดสอบภายในของผู้พัฒนา
Veeam ระบุว่าแม้บทบาท Backup และ Tape Operator จะเป็นบทบาทที่มีสิทธิ์จำกัด แต่ก็ยังถือว่ามีระดับสิทธิ์สูงในระบบ โดยหากมีการปฏิบัติตามแนวทางความมั่นคงปลอดภัยที่แนะนำอย่างเหมาะสม จะช่วยลดความเป็นไปได้ในการถูกโจมตี ทำให้บริษัทปรับระดับความรุนแรงของช่องโหว่นี้ลงมาอยู่ในระดับ High อย่างไรก็ตาม Veeam ยังคงแนะนำให้องค์กรที่ใช้งานดำเนินการอัปเดตเพื่อป้องกันความเสี่ยง
นอกจากนี้ Veeam ยังได้แก้ไขช่องโหว่อื่น ๆ เพิ่มเติมอีก 3 รายการ ได้แก่ ช่องโหว่การสั่งรันโค้ดจากระยะไกลในสิทธิ์ root ผ่านไฟล์สำรองที่เป็นอันตราย (CVE-2025-55125, CVSS 7.2), ช่องโหว่การสั่งรันโค้ดในสิทธิ์ postgres ผ่านกลไกการจัดการรหัสผ่าน (CVE-2025-59468, CVSS 6.7) และช่องโหว่การเขียนไฟล์ในสิทธิ์ root (CVE-2025-59469, CVSS 7.2) ซึ่งทั้งหมดได้รับการแก้ไขแล้วในเวอร์ชัน Veeam Backup & Replication 13.0.1.1071 ทั้งนี้ ยังไม่มีข้อมูลยืนยันว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีในขณะนี้ โดยทาง Veeam แนะนำให้ผู้ใช้งานอัปเดตระบบเป็นเวอร์ชันล่าสุดโดยเร็วเพื่อเสริมความมั่นคงปลอดภัยของระบบสำรองข้อมูลและกู้คืนระบบขององค์กร
