CVE-2026-44963: כשהגיבוי שאמור להציל אתכם מכופרה — הופך לדלת הכניסה שלה

תארו לעצמכם שתוקף מצפין את כל הקבצים בארגון שלכם — ואז מוחק את הגיבויים לפני שאתם מספיקים לשחזר. זה בדיוק מה שקבוצות כופרה כמו Akira ו-Fog עשו בעבר לשרתי Veeam לא מעודכנים. כעת התגלתה פגיעות חדשה ב-Veeam — ולמי שלא עדכן עדיין, זה הרגע לקום ולעשות זאת.

מה קרה?

ב-9 ביוני 2026 פרסמה Veeam עדכון אבטחה חירום לכלי הגיבוי הארגוני המוביל שלה — Veeam Backup & Replication. הפגיעות, שקיבלה את המזהה CVE-2026-44963 וציון CVSS v4 של 9.4 (קריטי), התגלתה על ידי Sina Kheirkhah מחברת WatchTowr. היא מאפשרת לכל משתמש דומיין מאומת — אפילו אחד ללא הרשאות מיוחדות — לבצע הרצת קוד מרחוק (RCE) ישירות על שרת הגיבויים.

בתרגום לשפה פשוטה: כל עובד בארגון שיש לו חשבון Active Directory, עם גישת רשת לשרת הגיבויים, יכול לנצל את הפגיעות הזו ולהשתלט על השרת — גם בלי לדעת סיסמת מנהל.

מה הפגיעות הטכנית?

הבאג נמצא בתהליך הסריאליזציה ההפוכה (Deserialization) של נתוני Veeam. זהו תהליך שבו תוכנה ממירה נתונים שנשמרו או הועברו ברשת — בחזרה לאובייקט פעיל בזיכרון. כשתהליך הזה מבוצע על קלט לא מהימן, תוקף יכול לבנות נתונים זדוניים שיגרמו לאפליקציה לבצע קוד שרירותי.

הדמיה פשוטה: תארו מפעל שמקבל חבילות, פותח אותן, ומרכיב את תוכנן אוטומטית — בלי לבדוק אם התוכן בטוח. תוקף ששולח “חבילה” מעוצבת במיוחד יכול לגרום למפעל לבצע בדיוק את הפעולה שהוא רוצה — בין אם מדובר בהתקנת תוכנה זדונית, יצירת משתמש מנהל חדש, או מחיקת כל הגיבויים.

זהו CWE-502 — אחד מסוגי הפגיעויות שמוביל לרוב ל-ניצול (Exploit) קל ישיר.

מה בסיכון — ומה לא?

פגיע: Veeam Backup & Replication גרסאות 12.x עד 12.3.2.4465 — אך רק כאשר השרת מחובר לדומיין (Active Directory).

לא פגיע: שרתים שפועלים בתצורת Workgroup (ללא דומיין), וגרסאות 13.x שהכניסו שינויים ארכיטקטוניים שסגרו את הפרצה.

המשמעות: ארגונים שמנהלים את שרת הגיבויים שלהם כחלק מרשת Active Directory — שזו הגדרה ארגונית שכיחה ביותר — נמצאים בסיכון אם לא עדכנו.

הקשר ההיסטורי: כשהגיבוי הופך לנקודת הכניסה

זו לא הפעם הראשונה ש-Veeam מצאה את עצמה במרכז קמפיין כופרה. באוקטובר 2024 תועדו קבוצות Akira ו-Fog בניצול פעיל של CVE-2024-40711 — פגיעות Veeam קודמת בציון CVSS 9.8 — לביצוע הרצת קוד מרחוק ללא אימות כלל. אפילו NHS England בבריטניה הוציאה התראה רשמית: “אפליקציות גיבוי ושחזור ארגוניות הן יעדים בעלי ערך גבוה עבור קבוצות איומים סייבריות.”

הלוגיקה של התוקפים ברורה: שרת גיבויים הוא המקום שבו נמצאות עותקי כל הנתונים הקריטיים של הארגון. אם ניתן לפגוע בו לפני פריסת כופרה, הארגון לא יוכל לשחזר ממנה — וסבירות תשלום הכופר עולה בחדות.

בנוסף, לאחר השגת RCE על שרת הגיבויים, תוקף יכול להשתמש בו כנקודת קפיצה לתנועה רוחבית לשאר הרשת, להתקין דלתות אחוריות, ולבצע הסלמת הרשאות לשם שליטה מלאה ב-Domain Controller.

מה לעשות עכשיו?

עדכנו מיד ל-Veeam Backup & Replication גרסה 12.3.2.4854 — זהו הגרסה שתוקנה, שוחררה ב-9 ביוני 2026. הורדה זמינה דרך ה-Veeam Customer Portal הרשמי.

אם עדכון מיידי אינו אפשרי, הגבילו גישת רשת לשרת הגיבויים: ודאו שרק תחנות ניהול מוגדרות יכולות לגשת לפורטים של Veeam. אל תאפשרו גישה לשרת הגיבויים מכל תחנת עבודה בארגון.

בדקו לאחרונה: Veeam פרסמה לאחרונה גם גרסאות 13.x — שינוי ארכיטקטוני שסגר את סוג הפגיעות הזה. אם הארגון שלכם מפעיל גרסה ישנה, שקלו שדרוג מלא.

עקרון יסוד: שרת הגיבויים הוא נכס קריטי שאמור להיות יותר מאובטח מרוב שאר השרתים בארגון — לא פחות.


מקורות: The Hacker News | BleepingComputer | SC World | Veeam KB4696

תגובות