Celah Kritis Veeam Backup Bisa Diambil Alih dari Jaringan, Semua Versi 12 Terdampak

CLB.my.id - Sebuah kerentanan kritis dengan skor CVSS 9.4 ditemukan di Veeam Backup and Replication, salah satu platform pencadangan data enterprise yang paling banyak digunakan di dunia. Celah ini memungkinkan pengguna domain biasa, tanpa hak istimewa administrator, untuk menjalankan kode jarak jauh secara langsung di server backup.

Kerentanan yang dilacak dengan kode CVE-2026-44963 ini diungkapkan oleh peneliti keamanan Sina Kheirkhah dari WatchTowr pada 9 Juni 2026. Semua versi Veeam Backup and Replication 12, mulai dari 12.0 hingga 12.3.2 build 12.3.2.4465, terdampak. Hanya versi 13.x yang aman karena mengalami perubahan arsitektur, dan server yang berjalan dalam mode workgroup tidak rentan.

Mengapa Celah Ini Sangat Berbahaya?

Kombinasi antara skor CVSS yang sangat tinggi, hambatan serangan yang rendah, dan posisi strategis server backup menjadikan CVE-2026-44963 sebagai kandidat utama untuk senjataisasi cepat oleh pelaku ancaman. Yang membuat celah ini semakin mengkhawatirkan adalah prasyarat serangannya yang minimal. Seorang pengguna domain biasa, yang akunnya tersebar luas di hampir semua organisasi, sudah cukup untuk mengeksploitasi kerentanan ini.

Server backup adalah target bernilai tinggi bagi pelaku ransomware. Ketika penyerang berhasil menguasai infrastruktur backup, mereka bisa melumpuhkan strategi pemulihan bencana perusahaan, sehingga memaksimalkan tekanan selama serangan. Dengan adanya celah RCE ini, penyerang tidak perlu lagi mengandalkan teknik spear-phishing yang rumit atau kredensial administrator yang dicuri.

Menurut laporan Cyberpress yang pertama kali mengungkap kerentanan ini, celah tersebut memanfaatkan kelemahan sanitasi input pada mekanisme autentikasi Veeam. Penyerang yang sudah memiliki akun domain bisa mengirimkan payload khusus yang kemudian dieksekusi oleh server backup dengan hak akses sistem. Dalam skenario terburuk, penyerang bisa menghapus seluruh cadangan, mengenkripsi data, atau bahkan menjadikan server backup sebagai titik lompatan untuk menyerang infrastruktur lain di jaringan yang sama.

Dampak untuk Lingkungan Active Directory

Kerentanan ini hanya berdampak pada server backup yang bergabung dengan domain Active Directory. Dalam lingkungan seperti ini, akun pengguna domain tersedia secara luas di seluruh organisasi, yang secara signifikan menurunkan hambatan untuk eksploitasi. Seorang karyawan biasa, kontraktor, atau bahkan akun yang sudah dikompromikan bisa menjadi pintu masuk.

Veeam sendiri mengakui bahwa begitu patch dirilis, pelaku ancaman akan merekayasa balik patch tersebut untuk mengembangkan exploit. Ini berarti jendela kerentanan antara rilis patch dan serangan aktual bisa sangat sempit. Tim keamanan harus memperlakukan ini sebagai remediasi prioritas tinggi, terlepas dari postur deteksi ancaman mereka saat ini.

Versi yang Terdampak dan Patch yang Tersedia

Versi yang terdampak mencakup Veeam Backup and Replication 12.0, 12.1, 12.2, 12.3, 12.3.1, dan 12.3.2 dengan build 12.3.2.4465 atau lebih awal. Veeam telah merilis perbaikan dalam versi 12.3.2.4854 yang dirilis bersamaan dengan advisory keamanan. Semua pengguna versi 12.x disarankan untuk segera melakukan upgrade ke build tersebut.

Bagi organisasi yang tidak bisa segera melakukan patch, Veeam merekomendasikan beberapa mitigasi sementara. Pertama, deploy server backup dalam mode workgroup alih-alih bergabung dengan domain. Kedua, isolasi infrastruktur backup dari lingkungan Active Directory yang lebih luas untuk mengurangi permukaan serangan. Ketiga, lakukan audit terhadap semua server backup yang bergabung dengan domain untuk menilai paparan.

Rekomendasi untuk Tim Keamanan

Tim keamanan perlu mengambil beberapa langkah prioritas. Lakukan inventarisasi semua server backup yang bergabung dengan domain dan nilai paparannya. Pantau aktivitas autentikasi yang tidak biasa yang menargetkan layanan Veeam. Tinjau segmentasi jaringan server backup untuk membatasi peluang pergerakan lateral.

Konteks Industri: Veeam sebagai Target Empuk Ransomware

Veeam Backup and Replication digunakan oleh lebih dari 550.000 pelanggan di seluruh dunia, termasuk banyak perusahaan Fortune 500. Platform ini menjadi tulang punggung strategi pemulihan bencana bagi ribuan organisasi. Ketika infrastruktur backup kompromi, dampaknya bukan hanya kehilangan data, melainkan juga kehilangan kemampuan untuk pulih dari serangan.

Tren serangan ransomware dalam beberapa tahun terakhir menunjukkan pola yang semakin jelas: penyerang sengaja menargetkan sistem backup terlebih dahulu sebelum melancarkan serangan utama. Dengan melumpuhkan kemampuan pemulihan, korban dipaksa untuk membayar tebusan. Celah seperti CVE-2026-44963 memberikan jalan pintas bagi penyerang untuk mencapai tujuan tersebut tanpa perlu melewati pertahanan perimeter yang rumit.

Kombinasi skor CVSS kritis, hambatan autentikasi yang rendah, dan pentingnya strategis server backup menjadikan CVE-2026-44963 sebagai ancaman serius bagi organisasi enterprise. Perusahaan yang mengandalkan Veeam untuk strategi pemulihan bencana mereka harus segera bertindak sebelum celah ini dieksploitasi secara luas di alam liar. Patch tersedia, mitigasi sudah diketahui, dan tidak ada alasan untuk menunda.***