Veeam и IBM под ударом — критические дыры в безопасности пугают ИБ-экспертов

Уязвимости почти на десяточку по шкале CVSS вскрылись в продуктах Veeam и IBM — в прямом смысле адский уровень. У Veeam проблема в десериализации: баг CVE-2025-23120 (9.9 балла) позволяет запускать произвольный код через «гаджеты», которые проскальзывают мимо черного списка. Патч вышел, но суть не решена — просто добавили новые запреты. Серьезно?

Атака возможна даже от обычного юзера в локальной группе или из домена — это почти приглашение. Эксперты уже крутят у виска: Veeam упорно держится за дырявую архитектуру защиты. После публикации деталей от watchTowr охота за новыми «гаджетами» гарантирована. Сюрпризы — вопрос времени.

У IBM тоже не без греха. Их древняя AIX, которой почти 40 лет, получила 10 из 10 за дыру в службе NIM. Через нее можно запускать код удалённо. И ещё одна уязвимость — CVE-2024-56347 — порадовала скромной девяткой с хвостиком. Обе щели связаны с плохим контролем доступа. Почти как в музее: заходи, кто хочешь.

Пока вроде тихо, но долго ли? После такой огласки — вопрос риторический. Если патчи не накатили, считайте, открыли дверь хакеру и сами вручили ключи.