Jetzt patchen: 7 neue kritische Schwachstellen in Veeam Backup & Replication

Am 12. März 2026 veröffentlichte Veeam zwei Sicherheitshinweise mit insgesamt sieben kritischen und einer hochgradigen Schwachstelle im Backup & Replication Server. Betroffen sind die Versionen 12 und 13. Obwohl bislang weder aktive Ausnutzung noch öffentlich verfügbare Proof-of-Concept-Exploits bekannt sind, ist Veeam seit Ende 2022 bereits viermal auf der CISA-Liste der Known Exploited Vulnerabilities (KEV) erschienen, jeweils im Zusammenhang mit Ransomware-Angriffen [1][2][3]. Veeam und andere Enterprise-Backup-Systeme zählen aufgrund ihrer zentralen Rolle beim Schutz geschäftskritischer Daten zu besonders attraktiven Zielen für Ransomware-Akteure. Weltweit wurden mehrere Warnmeldungen nationaler CERTs zu den neuen CVEs veröffentlicht [4][5][6][7][8][9][10].

Der OPENVAS ENTERPRISE FEED von Greenbone enthält Remote-Banner-Checks für alle in den neuen Advisories genannten CVEs [11][12] und ermöglicht eine zuverlässige Erkennung von Schwachstellen in Veeam Backup & Replication [13][14][15][16]. Wer seine Systeme überprüfen und schützen möchte, kann das Flaggschiffprodukt OPENVAS BASIC kostenlos testen, inklusive einer zweiwöchigen Testphase des OPENVAS ENTERPRISE FEEDs.

8 neue CVEs betreffen Veeam Backup & Replication

Alle neu veröffentlichten Schwachstellen setzen eine Authentifizierung voraus. Angreifer mit gestohlenen Zugangsdaten [TA0006] oder böswillige Insider können diese Schwachstellen jedoch ausnutzen. Laut IBM Threat Intelligence Index 2025 führten nahezu die Hälfte aller Cyberangriffe zum Diebstahl von Daten oder Zugangsdaten. Der Missbrauch von Identitäten war gemeinsam mit der Ausnutzung öffentlich erreichbarer Anwendungen der häufigste Einstiegspunkt. Zudem zeigt der Bericht einen Anstieg um 84 Prozent bei E-Mails, die Infostealer verbreiten, im Jahr 2024.

Jede der neuen Schwachstellen betrifft Version 12 und oder Version 13 von Veeam Backup & Replication. Eine davon, CVE-2026-21672, betrifft ausschließlich Windows-basierte Installationen. Alle übrigen betreffen sowohl Windows- als auch Linux-Systeme. Die acht Schwachstellen wurden vom Hersteller in zwei separaten Advisories veröffentlicht [17][18]. Technische Details wurden bislang für keine der CVEs offengelegt.

Der OPENVAS ENTERPRISE FEED von Greenbone enthält Remote-Banner-Checks für alle neuen CVEs [8][9]. Organisationen können OPENVAS BASIC kostenlos nutzen, inklusive einer zweiwöchigen Testphase des ENTERPRISE FEED.

CVE ID	CVSS	Auswirkung	Betroffene Produkte
CVE-2026-21708	9.9	Ein Benutzer mit Backup-Viewer-Rechten kann Remote Code Execution (RCE) als postgres-User ausführen	≤ v12.3.2.4165 der v12-Builds ≤ v13.0.1.1071 der v13-Builds
CVE-2026-21666	9.9	Ein authentifizierter Domain-Benutzer kann RCE auf dem Backup-Server ausführen	≤ v12.3.2.4165 der v12-Builds
CVE-2026-21667	9.9	Ein authentifizierter Domain-Benutzer kann RCE auf dem Backup-Server ausführen	≤ v12.3.2.4165 der v12-Builds
CVE-2026-21669	9.9	Ein authentifizierter Domain-Benutzer kann RCE auf dem Backup-Server ausführen	≤ v13.0.1.1071 der v13-Builds
CVE-2026-21668	8.8	Ein authentifizierter Domain-Benutzer kann Sicherheitsbeschränkungen umgehen und beliebige Dateien im Backup-Repository manipulieren	≤ v12.3.2.4165 der v12-Builds
CVE-2026-21672	8.8	Ermöglicht lokale Privilegieneskalation auf Windows-basierten Veeam Backup & Replication Servern	≤ Version 12.3.2.4165 der v12-Builds für Windows ≤ Version 13.0.1.1071 der v13-Builds für Windows
CVE-2026-21671	9.1	Ein authentifizierter Benutzer mit Backup-Administratorrolle kann RCE in High-Availability-Umgebungen ausführen	Version 13.0.1.107 und frühere Versionen der Veeam Backup & Replication-Server
CVE-2026-21670	7.7	Ein Benutzer mit niedrigen Rechten kann gespeicherte SSH-Zugangsdaten extrahieren	Version 13.0.1.107 und frühere Versionen der Veeam Backup & Replication-Server

Maßnahmen zur Behebung neuer CVEs in Veeam Backup & Replication

Für keine der genannten Schwachstellen wurden Workarounds veröffentlicht. Unternehmen sollten daher umgehend die vom Hersteller bereitgestellten Updates installieren:

• Nutzer von Version 12 sollten auf 3.2.4465 oder neuer aktualisieren
• Nutzer von Version 13 sollten auf 0.1.2067 oder neuer aktualisieren

Alle älteren Versionen gelten als verwundbar. Zusätzlich sollten Unternehmen ihre Zugangsdatenstrategie überprüfen. Gestohlene Zugangsdaten, überprivilegierte Accounts und frei zugängliche Administrationszugänge erhöhen das Risiko erheblich, da diese Schwachstellen eine Authentifizierung voraussetzen.

Fazit

Veeam hat acht neue Schwachstellen in Backup & Replication veröffentlicht, darunter sieben kritische. Auch wenn aktuell keine aktive Ausnutzung bekannt ist, bleiben Backup-Systeme ein bevorzugtes Ziel für Ransomware-Angriffe. Da keine Workarounds existieren, sollten betroffene Systeme umgehend auf Version 12.3.2.4465 beziehungsweise 13.0.1.2067 aktualisiert werden. Gleichzeitig ist eine Stärkung der Zugangssicherheit essenziell.

Der OPENVAS ENTERPRISE FEED von Greenbone bietet Remote-Banner-Checks für alle betroffenen CVEs [8][9] und eine zuverlässige Erkennung entsprechender Schwachstellen [[13][14][15][16]. OPENVAS BASIC kann kostenlos getestet werden, inklusive einer zweiwöchigen Testphase des ENTERPRISE FEED.