بررسی آسیبپذیریهای بحرانی VMware در سال ۲۰۲۵، موج جدیدی از آسیبپذیریهای بحرانی در دو ستون کلیدی زیرساخت سازمانها، یعنی Veeam Backup & Replication و VMware ESXi/vCenter منتشر کرد. این دو پلتفرم در اکثر مراکز داده نقش حیاتی دارند بدین صورت که یکی مسئول پشتیبانگیری و بازیابی دادهها، و دیگری قلب مجازیسازی و سرویسهای حیاتی سازمان میباشد.
آسیبپذیریهای اخیر، بهویژه آنهایی که منجر به اجرای کد از راه دور RCE یا فرار از محیط مجازی میشوند، نشان دادهاند که حتی لایههای زیرساختی که برای امنیت و تداوم خدمت طراحی شدهاند، میتوانند خود به نقطه ورود مهاجمان تبدیل شوند.
آسیبپذیریهای جدید در Veeam
Veeam بهعنوان پرکاربردترین راهکار پشتیبانگیری سازمانی، همواره هدف جذابی برای مهاجمان است. سه نقص امنیتی اخیر، این محصول را در معرض تهدیدهای جدی قرار دادهاند:
🔸 CVE-2025-23121 — Remote Code Execution (Critical 9.9)
در این آسیبپذیری، کاربران دامینی معتبر میتوانند رویVeeam Backup Server کد دلخواه اجرا کنند. اگر سرور به دامنه متصل باشد، مهاجم با دسترسی محدود میتواند به سطح SYSTEM ارتقا پیدا کند و کنترل کامل بکآپها را به دست گیرد.
🔸 CVE-2025-24286 — Job Manipulation Attack
در این مورد، یک کاربر با نقش Backup Operator میتواند Jobهای پشتیبان را دستکاری کرده و کد مخرب تزریق کند. این نقص از ضعف در اعتبارسنجی پارامترهای job ناشی میشود.
چرا Veeam برای مدیریت، انتقال و ذخیره اطلاعات بهترین گزینه است؟
ویدوهای بیشتر درباره ی Veeam
🔸 CVE-2025-23120 — Deserialization Flawدر NET Remoting
این آسیبپذیری ناشی از deserialization ناامن دادهها در ارتباطات داخلی Veeam است و به مهاجم اجازه اجرای کد از راه دور را میدهد.
نسخههای 12.3.2.3617 و بالاتر این نقصها را رفع کردهاند. اما در محیطهایی که پچ نصب نشده، خطر نفوذ مستقیم و حذف بکآپهای حیاتی وجود دارد.
آسیبپذیریهای بحرانی VMware
VMware همواره در خط مقدم حملات سایبری قرار دارد، زیرا کنترل هزاران ماشین مجازی را در محیطهای سازمانی و ابری در اختیار دارد. در سال ۲۰۲۵ چندین آسیبپذیری حیاتی در محصولات ESXi، Workstation،Fusion و vCenter منتشر شد:
🔸 CVE-2025-41236 — VMXNET3 Integer Overflow
نقصی در آداپتور شبکه مجازیVMXNET3 که به کاربر درون ماشین مجازی اجازه میدهد از طریق Overflow، روی میزبان ESXi Host کد اجرا کند. این یعنی فرار از Sandbox و در اختیار گرفتن کنترل کامل زیرساخت مجازی.
بیشتر بخوانید: بررسی راهکار شناسایی بدافزار Veeam اینکه چگونه می توان از حملات سایبری جلوتر بود
🔸 CVE-2025-41238 — PVSCSI Heap Overflow
در کنترلر PVSCSI یک باگ Heap-Overflow وجود دارد که امکان نوشتن خارج از محدوده را فراهم میکند. با ترکیب با سایر باگها، مهاجم میتواند کد در سطح VMX اجرا کند.
🔸 CVE-2025-41225 — vCenter Arbitrary Command Execution
در vCenter Server، مهاجمان با امتیاز پایین میتوانند دستورها دلخواه در سیستم اجرا کنند — خطرناک بهویژه در محیطهایی که دسترسی مدیریتی از طریق مرورگر باز است.
جهت مشاوره رایگان و یا راه اندازی زیرساخت مجازی سازی دیتاسنتر با کارشناسان شرکت APK تماس بگیرید. |
چرا این آسیبپذیریها خطرناکتر از همیشهاند؟
- زیرساختهای حیاتی را هدف گرفتهاند: مهاجم با نفوذ به Veeam میتواند بکآپها را حذف کند؛ با نفوذ به VMware میتواند همه ماشینها را متوقف یا آلوده نماید.
- اثر دومینویی دارند:compromise شدن Backup Server به معنی از دست رفتن تمام دادهها و نسخههای ایمن است.
- در حملات چندبرداری multi-vector، مهاجمان از هر دو محصول بهصورت زنجیرهای استفاده میکنند: اول از VMware برای نفوذ به سرور Veeam و سپس از Veeam برای تخریب پشتیبانها.
- بازیگران پیشرفته (APT) مانند Storm-0501 و ArcaneDoor از این نقصها برای حمله به مراکز داده استفاده کردهاند.
بیشتر بخوانید: بررسی راهکار شناسایی بدافزار Veeam اینکه چگونه می توان از حملات سایبری جلوتر بود
چکلیست امنیتی برای دفاع در برابر آسیبپذیریهای بحرانی VMware و VMware
| حوزه | اقدام امنیتی ضروری | هدف |
| بهروزرسانی فوری | نصب آخرین Patchهای رسمی از Veeam و VMware (نسخه 12.3.2 برای Veeam و ESXi Patch July 2025 برای VMware) | حذف آسیبپذیریهای فعال |
| کنترل دسترسی | محدودسازی کاربران دامینی روی Veeam، فعالسازی MFA برای vCenter و Veeam Console | جلوگیری از سوءاستفاده از حسابها |
| جداسازی شبکهای (Segmentation) | تفکیک ترافیک مدیریتی از ترافیک کاربری در VMware و جداسازی سرور Veeam از شبکه تولید | کاهش ریسک حرکت جانبی مهاجم |
| مانیتورینگ پیشرفته | بررسی لاگها برای تغییر job، اجرای کد مشکوک، یا دستورات غیرمنتظره در vCenter | شناسایی نفوذ زودهنگام |
| Backup ایمن (Immutable) | ذخیره نسخههای Immutable از پشتیبانها در فضای ایزوله، آفلاین یا cloud-based | مقاومت در برابر حذف بکآپ |
| سختسازی سیستم (Hardening) | غیرفعال کردن سرویسهای غیرضروری، محدود کردن WebUI، بستن پورتهای مدیریتی عمومی | کاهش سطح حمله |
| تست نفوذ داخلی و Red Teaming | شبیهسازی حملات علیه سرورهای VMware و Veeam برای ارزیابی دفاع واقعی | بررسی اثربخشی کنترلها |
| مستندسازی و تمرین بازیابی (Restore Drill) | تست بازیابی دادهها از نسخههای ایمن حداقل هر سه ماه یکبار | اطمینان از تداوم کسبوکار |
توصیههای عملی برای تیمهای امنیت و پشتیبانی
- استفاده از Least Privilege Access در هر دو پلتفرم. ادمینهای Veeam نباید دسترسی مستقیم به vSphere Datastore داشته باشند.
- قطع ارتباط مستقیم بین VMware و Veeam از طریق حساب دامینی مشترک؛ هر پلتفرم باید با Credential مجزا کار کند.
- ایجاد SIEM Correlation Rule برای شناسایی فعالیتهایی مانند حذف jobهای پشتیبان یاSnapshotهای غیرمعمول.
- مانیتورینگ API Calls در vCenter بسیاری از اکسپلویتها از طریق APIهای مدیریتی انجام میشوند.
- افزودن Layer محافظ IPS/WAF بین کاربران و WebUIهای مدیریتی.
آسیبپذیریهای بحرانی VMware و Veeam یک هشدار جدی برای سازمانهایی هستند که تصور میکردند لایههای زیرساختیشان کاملاً ایمن است. مهاجمان امروز از مسیرهایی وارد میشوند که پیشتر «نقطه اطمینان» محسوب میشدند یعنی بکآپها و سرورهای مجازیسازی.
دفاع مؤثر در برابر این تهدیدات فقط با پچ سریع، ایزولهسازی شبکه، کنترل دقیق دسترسی و پشتیبانهای غیرقابل تغییر ممکن است. سازمانی که این اصول را اجرا کند، حتی در مواجهه با شدیدترین حملات سایبری، توانایی حفظ دادهها، تداوم خدمات و بازیابی سریع را خواهد داشت.
🔹 خلاصه مقاله
در ماههای اخیر، مجموعهای از آسیبپذیریهای بحرانی در دو محصول حیاتی زیرساختی یعنیVeeam Backup & Replication و VMware vSphere/ESXi شناسایی شده که زنگ خطر جدی برای امنیت دادهها و تداوم خدمات سازمانها بهصدا درآورده است.
در Veeam، نقصهایی مانندCVE-2025-23121 وCVE-2025-23120 امکان اجرای کد از راه دور RCE و دستکاری jobهای بکآپ را برای مهاجمان فراهم میکنند. این حملات میتوانند منجر به حذف نسخههای پشتیبان و از بین رفتن کامل قابلیت بازیابی داده شوند. در VMware نیز آسیبپذیریهایی نظیر CVE-2025-41236 در آداپتور VMXNET3 و CVE-2025-41225 در vCenter Server به مهاجمان اجازه میدهد از محیط ماشین مجازی فرار کرده و کنترل میزبان یا سرور مدیریتی را در دست بگیرند.
این نقصها اهمیت حیاتی سه اصل را برجسته میکنند:
- Patch Management سریع و مداوم برای جلوگیری از سوءاستفاده از آسیبپذیریهای فعال،
- ایزولهسازی و کنترل دسترسی سختگیرانه بین سرورهای بکآپ و زیرساخت مجازیسازی،
- استفاده از نسخههای پشتیبان Immutable و تست مداوم بازیابی برای تضمین تداوم خدمت در صورت نفوذ.
چکلیست امنیتی مقاله شامل اقدامات فوری نظیر ارتقاء به نسخههای امن، اعمالMFA، جداسازی شبکه مدیریتی، فعالسازی مانیتورینگ پیشرفته در SIEM، سختسازی WebUI و تمرینهای دورهای Restore است.
پیام نهایی مقاله این است که: باید حتما توجه داشت کع امنیت واقعی، از زیرساخت آغاز میشود. اگر لایههای پشتیبان و مجازیسازی ایمن نباشند، هیچ فایروال یا آنتیویروسی نمیتواند مانع از فاجعه شود.
