文章总结： Veeam备份软件曝出CVSS9.0高危漏洞CVE-2025-59470，允许低权限用户提权接管服务器，勒索软件或利用其破坏备份数据。受影响版本为VBR13.0.1.180及更早版本。建议立即安装KB4738补丁，进行网络隔离与账号加固，并落实不可变备份策略。 综合评分： 91 文章分类： 漏洞预警,漏洞分析,应急响应

【高危预警】Veeam备份软件曝出 CVSS 9.0 远程代码执行漏洞，勒索软件可利用其破坏备份数据

原创

solarsec

solar应急响应团队

2026年1月8日 17:57 山东

1.通告背景

在过去24小时，备份解决方案供应商 Veeam 发布了安全更新（KB4738），修复了 Veeam Backup & Replication (VBR) 中的4个高危漏洞。其中，编号为 CVE-2025-59470 的远程代码执行（RCE）漏洞 CVSS 评分高达 9.0。

备份系统是企业数据恢复的核心基础设施。一旦备份服务器遭攻击者控制，不仅意味着数据被窃取，更可能导致历史备份文件被彻底删除，从而使企业在遭受勒索病毒攻击时无法进行业务还原。

Solar 应急响应团队经过研判发现，该漏洞允许低权限用户获取服务器的最高控制权，极易被勒索软件组织用于破坏备份完整性。建议所有部署了 Veeam VBR 的客户立即开展自查与修补工作。

2.漏洞技术分析

根据官方公告与补丁信息，此次受影响的版本为 VBR 13.0.1.180 及更早版本。漏洞的核心风险在于权限管理的逻辑缺陷，导致低权限账户可跨越边界执行任意代码。

主要漏洞清单：

| CVE 编号 | 漏洞类型 | CVSS 评分 | 危害描述 | | — | — | — | — | | CVE-2025-59470 | 远程代码执行 (RCE) | 9.0 (高危) | 允许具有“备份操作员”或“磁带操作员”权限的账户，通过构造恶意的内部参数，以 postgres 用户身份在服务器上执行任意系统命令。 | | CVE-2025-55125 | 远程代码执行 (RCE) | 7.2 (高危) | 允许操作员通过创建恶意的备份配置文件，以 Root 权限执行代码。 | | CVE-2025-59469 | 任意文件写入 | 7.2 (高危) | 允许操作员以 Root 权限向文件系统写入任意数据，可能导致系统文件被覆盖。 | | CVE-2025-59468 | 远程代码执行 (RCE) | 6.7 (中危) | 允许备份管理员通过恶意密码参数执行代码。 |

图1：Veeam 官方发布 KB4738 安全更新公告（来源：Veeam官网）

Solar 团队研判：虽然利用该漏洞需要攻击者拥有“备份操作员”等低级权限，但在实际的内网渗透场景中，攻击者往往通过爆破、钓鱼或凭证窃取（Credential Dumping）轻易获取此类普通账号。一旦获取，攻击者即可利用 CVE-2025-59470 进行本地权限提升（Local Privilege Escalation），从而完全接管备份服务器。

3.勒索攻击场景研判

在 Solar 应急响应团队近期处置的勒索案件中，攻击者针对备份系统的破坏行为已成为标准攻击流程的一部分。

3.1 攻击链路推演

结合我们掌握的 Fog、Akira、LockBit等勒索家族的攻击手法，攻击者极有可能利用此漏洞构建以下攻击链路：

1.初始访问：通过 RDP 爆破或 VPN 弱口令进入企业内网。

2.横向探测：扫描内网网段，定位安装了 Veeam VBR 的服务器端口（如 TCP 9392）。

3.权限提升与破坏：

• 若服务器未修补漏洞，攻击者只需窃取或创建一个低权限的“操作员”账号。
• 利用 CVE-2025-59470 执行恶意代码，直接获取服务器底层权限。
• 执行操作：停止备份服务、格式化备份存储库、删除云端备份的不可变锁。

4.全面加密：在确认备份失效后，对生产环境服务器投放勒索病毒。

3.2 实战警示：LockBit 案例中的数据恢复困境

在 Solar应急响应团队此前处理的一起非常经典的 LockBit 勒索案件中，攻击者曾试图删除企业的数据库备份。虽然我们最终通过底层数据修复技术帮助客户挽回了损失，但该案例深刻揭示了备份服务器安全的重要性。

案例详情：【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告

如果黑客利用漏洞完全接管了备份服务器，删除了所有历史存档，那么即便拥有再强的数据修复技术，企业也将面临无法恢复的绝境。因此，修补备份软件漏洞，是保障数据恢复能力的重中之重。

图2：黑客攻击路线图

4.处置建议与安全加固

针对此次高危漏洞，Solar 应急响应团队建议各单位立即执行以下防御措施：

A. 紧急补丁修复（优先级：P0）

• 排查范围：立即检查所有 Veeam Backup & Replication 服务器版本。

• 受影响版本：13.0.1.180 及以下。

• 修复方案：下载并安装 Veeam KB4738 补丁。

• 补丁下载链接请参考 Veeam 官方支持门户：https://www.veeam.com/kb4738

B. 攻击面收敛与加固

1.网络隔离：备份服务器不应直接暴露在普通办公内网，更严禁暴露在公网。建议将其部署在独立的管理网段，并配置严格的访问控制策略（ACL），仅允许特定运维 IP 访问。

2.账号清理：全面审查 Veeam 系统上的“备份操作员”和“磁带操作员”账号。移除所有不必要的账户，并强制开启 MFA（多因素认证），防止账号被盗用。

3.服务加固：建议关闭备份服务器的 RDP 服务，改用带外管理（如 iDRAC/ILO）或通过堡垒机进行运维操作，阻断黑客利用 RDP 进行内网渗透的路径。

C. 备份策略升级

• 落实“不可变备份”：确保至少有一份备份存储在Linux Hardened Repository（Linux 加固存储库）或支持对象锁定的云存储（S3 Object Lock）中。这种存储方式能有效防止黑客即使获取了服务器权限也无法删除底层数据。

图3：采用“不可变备份”架构阻断数据删除风险（来源：Veeam 官方架构图）

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 | | 2025/ | |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar应急响应团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec《【高危预警】Veeam备份软件曝出 CVSS 9.0 远程代码执行漏洞，勒索软件可利用其破坏备份数据》