الثغرات ›

CVE-2022-26501

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

                    نُشر: Dec 13, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Veeam Backup & Replication Remote Code Execution Vulnerability — The Veeam Distribution Service in the Backup & Replication application allows unauthenticated users to access internal API functions. A remote attacker can send input to the internal API which may lead to uploading and executing of malicious code.

🤖 ملخص AI

CVE-2022-26501 is a critical unauthenticated remote code execution vulnerability in Veeam Backup & Replication affecting the Distribution Service. Attackers can exploit exposed internal API functions to upload and execute arbitrary code without authentication. With a CVSS score of 9.0 and publicly available exploits, this poses an immediate threat to organizations relying on Veeam for backup infrastructure across Saudi Arabia.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 19:40

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses severe risk to Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), healthcare organizations (MOH), energy sector (ARAMCO, Saudi Aramco subsidiaries), and telecommunications providers (STC, Mobily). Veeam is widely deployed for critical infrastructure backup. Compromise could lead to data exfiltration, ransomware deployment, and business continuity disruption. Government entities and financial institutions are particularly vulnerable due to reliance on backup systems for regulatory compliance and disaster recovery.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Critical Infrastructure

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1133 - External Remote Services T1200 - Hardware Additions T1059 - Command and Scripting Interpreter T1105 - Ingress Tool Transfer T1053 - Scheduled Task/Job

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Veeam Backup & Replication instances in your environment and document versions

2. Isolate affected systems from untrusted networks immediately

3. Review firewall rules to restrict access to Veeam Distribution Service ports (default 6160)

4. Enable network segmentation to limit lateral movement



PATCHING:

1. Apply Veeam patches: v11.0 SP3a, v12.0 SP1, or later versions

2. Prioritize patching for systems managing critical infrastructure backups

3. Test patches in non-production environment before deployment



COMPENSATING CONTROLS (if patching delayed):

1. Implement strict network access controls - whitelist only authorized backup clients

2. Deploy WAF/IPS rules to block malicious API payloads

3. Monitor Veeam Distribution Service logs for suspicious API calls

4. Disable external access to Veeam services



DETECTION:

1. Monitor for POST/PUT requests to /api/ endpoints without authentication tokens

2. Alert on file uploads to Veeam cache directories

3. Track process execution spawned by VeeamDistributionSvc.exe

4. Log all connections to port 6160 and review for anomalies

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع نسخ Veeam Backup & Replication في بيئتك وتوثيق الإصدارات

2. عزل الأنظمة المتأثرة عن الشبكات غير الموثوقة فوراً

3. مراجعة قواعد جدار الحماية لتقييد الوصول إلى منافذ خدمة التوزيع (الافتراضي 6160)

4. تفعيل تقسيم الشبكة لتحديد الحركة الجانبية

التصحيح:

1. تطبيق تصحيحات Veeam: v11.0 SP3a أو v12.0 SP1 أو إصدارات أحدث

2. إعطاء الأولوية لتصحيح الأنظمة التي تدير النسخ الاحتياطية للبنية التحتية الحرجة

3. اختبار التصحيحات في بيئة غير الإنتاج قبل النشر

الضوابط البديلة (إذا تأخر التصحيح):

1. تطبيق ضوابط وصول صارمة للشبكة - قائمة بيضاء للعملاء المصرح لهم فقط

2. نشر قواعد WAF/IPS لحجب حمولات API الضارة

3. مراقبة سجلات خدمة التوزيع للاتصالات المريبة

4. تعطيل الوصول الخارجي لخدمات Veeam

الكشف:

1. مراقبة طلبات POST/PUT إلى نقاط نهاية /api/ بدون رموز مصادقة

2. تنبيهات على تحميلات الملفات إلى دلائل ذاكرة التخزين المؤقت Veeam

3. تتبع تنفيذ العمليات التي تم إطلاقها بواسطة VeeamDistributionSvc.exe

4. تسجيل جميع الاتصالات بالمنفذ 6160 ومراجعة الشذوذ

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 - Access Control and Authentication 5.2.1 - Vulnerability Management 5.3.1 - Incident Response 5.4.1 - System Hardening

🔵 SAMA CSF

ID.AM-2 - Software Inventory PR.AC-1 - Access Control PR.PT-2 - Protective Technology DE.CM-1 - Detection Processes

🟡 ISO 27001:2022

A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.12.2.1 - Monitoring and logging

🟣 PCI DSS v4.0

6.2 - Security patches and updates 6.5.1 - Injection flaws 11.2 - Vulnerability scanning

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Veeam:Backup & Replication

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS66.73%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2023-01-03

تاريخ النشر 2022-12-13

المصدر cisa_kev

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2022-26501

عرّفنا بنفسك

تسجيل الدخول مطلوب