Được theo dõi với mã định danh CVE-2025-23121, lỗ hổng bảo mật này ảnh hưởng đến các cài đặt đã tham gia môi trường domain. Veeam cho biết, lỗ hổng CVE-2025-23121 có thể bị khai thác bởi những tài khoản người dùng trong domain đã xác thực để thực thi mã từ xa trên máy chủ Backup. Lỗ hổng này ảnh hưởng đến Veeam Backup & Replication 12 trở lên và đã được khắc phục trong phiên bản 12.3.2.3617, được phát hành vào ngày 17/6.

Mặc dù CVE-2025-23121 chỉ ảnh hưởng đến các cài đặt VBR tham gia vào domain, nhưng bất kỳ tài khoản domain nào cũng có thể khai thác nó, khiến lỗ hổng dễ bị lạm dụng trong các cấu hình liên quan. Nhiều công ty, tổ chức đã liên kết máy chủ Backup của họ với Windows domain, khuyến cáo quản trị viên sử dụng Active Directory Forest riêng và bảo vệ tài khoản admin bằng xác thực hai yếu tố.

Trước đó vào tháng 3/2025, Veeam cũng đã vá một lỗ hổng thực thi mã từ xa (CVE-2025-23120) trong phần mềm VBR của hãng, ảnh hưởng đến các cài đặt đã tham gia domain. Theo nhận định của các chuyên gia bảo mật, các băng nhóm mã độc tống tiền có xu hướng nhắm mục tiêu vào các máy chủ chạy phần mềm VBR, vì chúng đơn giản hóa việc đánh cắp dữ liệu của nạn nhân, đồng thời ngăn chặn nỗ lực khôi phục bằng cách xóa các bản sao lưu trước khi triển khai mã độc tống tiền trên hệ thống mạng của mục tiêu.

Trong một diễn biến liên quan trước đó, Công ty bảo mật Sophos (Vương quốc Anh) đã tiết lộ rằng một lỗ hổng thực thi mã từ xa (CVE-2024-40711) trong phần mềm VBR được tiết lộ vào tháng 9/2024, hiện đang bị khai thác để triển khai mã độc tống tiền Frag. Lỗ hổng bảo mật tương tự cũng được sử dụng để thực thi mã từ xa trên các máy chủ Veeam Backup dễ bị tấn công trong các cuộc tấn công bằng mã độc tống tiền Akira và Fog bắt đầu từ tháng 10/2024.

Trước đây, các nhóm tin tặc mã độc tống tiền Cuba và FIN7 (nhóm tin tặc có động cơ tài chính được biết đến là hợp tác với các băng nhóm Conti, REvil, Maze, Egregor và Black Basta), cũng bị phát hiện khai thác lỗ hổng VBR.