Veeam: RCE su server backup a dominio, patch raccomandata per CVE-2026-44963

Nota editoriale: Questo articolo si basa sul report di BleepingComputer del 9 giugno 2026. Le fonti tecniche aggiuntive citate riguardano vulnerabilità Veeam precedenti e forniscono solo contesto storico.

Veeam ha rilasciato il 9 giugno 2026 una patch di sicurezza per una vulnerabilità di esecuzione remota di codice che colpisce i server Backup & Replication uniti a un dominio Windows. La falla, tracciata come CVE-2026-44963, consente a qualsiasi utente di dominio autenticato con privilegi minimi di compromettere il server backup.

Il meccanismo: autenticazione come unica barriera

La vulnerabilità si attiva sui server Veeam Backup & Replication uniti a un dominio Windows. Come riportato nell'advisory del vendor, citato da BleepingComputer: "A vulnerability allowing remote code execution (RCE) on the Backup Server by an authenticated domain user".

Non servono privilegi elevati: qualsiasi account di dominio autenticato con privilegi bassi può innescare l'exploit. Questa caratteristica rende l'attacco insidioso in ambienti enterprise dove i domini contano migliaia di account utente.

Versioni colpite e chiarimento sulle build

Secondo BleepingComputer, la falla interessa tutte le build della versione 12.x fino alla 12.3.2.4465. La correzione arriva con la build 12.3.2.4854.

La build 12.3.2.4465 era la patch di marzo 2026 per il cluster CVE-2026-21666/21708. La build 12.3.2.4854 di giugno 2026 corregge invece CVE-2026-44963. Si tratta di due cicli patch distinti: la 4465 non proteggeva dalla falla successiva.

La versione 13.x è esplicitamente esclusa dal rischio. Veeam ha dichiarato: "This vulnerability does not affect any version 13.x build of Veeam Backup & Replication due to architectural changes starting in version 13".

"Once a vulnerability and its associated patch are disclosed, attackers will likely attempt to reverse-engineer the patch to exploit unpatched deployments of Veeam software" — Veeam advisory, 9 giugno 2026

Perché i server backup sono target privilegiati

I server di backup rappresentano obiettivi ad alto impatto per gli attaccanti. Un compromesso su questi sistemi offre accesso a dati aziendali critici e alla capacità di cancellare le copie di ripristino, rendendo il pagamento del riscatto più probabile.

Veeam conta oltre 550.000 clienti, inclusi circa l'82% delle aziende Fortune 500 e quasi il 74% del Global 2000. La fonte non collega questi numeri a una stima di esposizione specifica per CVE-2026-44963.

BleepingComputer riporta che "many companies have joined their Veeam servers to a Windows domain, ignoring Veeam's long-standing best practices". L'integrazione in Active Directory semplifica la gestione centralizzata ma espone il server backup al medesimo perimetro di autenticazione di migliaia di endpoint e utenti.

Cosa fare adesso

• Verificare il numero di build delle installazioni Veeam Backup & Replication 12.x: solo la 12.3.2.4854 corregge CVE-2026-44963; chi ha la 12.3.2.4465 è ancora esposto
• Dove applicabile, valutare la rimozione dei server backup dal dominio Active Directory, coerentemente con le best practice del vendor
• Applicare la patch con priorità sui server esposti a rete interna con accesso da parte di utenti di dominio generici
• Dove fattibile, pianificare la valutazione della versione 13.x, non interessata dalla vulnerabilità

Implicazioni strategiche e limiti noti

Il CVSS di CVE-2026-44963 non è ancora disponibile nelle fonti consultate; la valutazione di severità si basa sulla descrizione del vendor. Non è verificato se CVE-2026-44963 sia distinta tecnicamente dal cluster di vulnerabilità di marzo 2026 o se rappresenti una disclosure ritardata di un problema correlato.

Al 9 giugno 2026, nessuna delle fonti disponibili segnala CVE-2026-44963 come attivamente sfruttata né ne documenta un proof-of-concept pubblico. La CISA ha inserito nel catalogo KEV quattro vulnerabilità precedenti di Veeam Backup & Replication, tutte classificate come "Known To Be Used in Ransomware Campaigns".

L'assenza di dati su CVE-2026-44963 nel catalogo CISA al momento della pubblicazione non esclude che la falla venga aggiunta in futuro, specialmente considerando il pattern storico di weaponization rapida delle vulnerabilità Veeam.

Disclaimer: Il CVSS di CVE-2026-44963 non è ancora disponibile nelle fonti consultate; la valutazione di criticità si basa sulla descrizione del vendor. La maggior parte delle fonti tecniche citate nel dossier (Rescana, Penligent, NVD) riguardano vulnerabilità Veeam di date diverse e forniscono contesto storico, non dati diretti su CVE-2026-44963.

Fonte primaria: BleepingComputer, 9 giugno 2026. Le informazioni si basano su un'unica fonte primaria strutturata; i limiti di verifica sono dichiarati nel testo.

Fonti: BleepingComputer | Rescana | Penligent | NVD CVE-2026-21666 | NVD CVE-2026-21672 | CISA KEV

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://www.bleepingcomputer.com/news/security/new-veeam-vulnerability-exposes-backup-servers-to-rce-attacks/
• https://www.rescana.com/post/veeam-backup-replication-vulnerabilities-critical-rce-flaws-patched-in-latest-security-update
• https://www.penligent.ai/hackinglabs/veeam-cve-cve-2026-21672-and-the-new-reality-of-backup-server-risk/
• https://nvd.nist.gov/vuln/detail/CVE-2026-21666
• https://nvd.nist.gov/vuln/detail/CVE-2026-21672
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://integsec.com/blog/cve-2026-21666-veeam-backup-server-rce-vulnerability-what-it-means-for-your-business-and-how-to-respond
• https://thehackernews.com/2026/01/veeam-patches-critical-rce.html
• https://tech.yahoo.com/articles/veeam-says-security-flaws-may-162000477.html
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog?f%5B0%5D=vendor_project%3A931&field_cve=&field_date_added_wrapper=all&items_per_page=20&search_api_fulltext=Veeam+&sort_by=field_date_added&url=&utm_source=chatgpt.com
• https://www.bleepingcomputer.com/