Veeam Software, entreprise leader dans les solutions de sauvegarde et de gestion des données, a émis un bulletin de sécurité critique pour septembre 2024. Le communiqué révèle plusieurs vulnérabilités à haut risque qui affectent divers de ses produits principaux, y compris Veeam BackupUn backup est une copie de sécurité qui est créée et stockée e… & Replication, Veeam Agent for Linux, Veeam ONE et Veeam Service Provider Console.
Vulnérabilités critiques dans Veeam Backup & Replication
La vulnérabilité la plus grave, identifiée comme CVE-2024-40711, permet l’exécution de code à distance sans authentification dans Veeam Backup & Replication. Avec un score CVSS v3.1 de 9.8, cette faille représente un risque critique pour la sécurité des systèmes utilisant des versions affectées du logiciel.
Autres vulnérabilités significatives incluent :
- CVE-2024-40710 : Une série de défauts de haute gravité qui permettent l’exécution de code à distance et l’extraction d’informations sensibles.
- CVE-2024-39718 : Permet à des utilisateurs avec de faibles privilèges de supprimer des fichiers à distance.
- CVE-2024-40714 : Une vulnérabilité dans la validation des certificats TLSTransport Layer Security (TLS) est un protocole de sécurité … qui pourrait permettre l’interception de credentials pendant les opérations de restauration.
Veeam Agent for Linux également affecté
Le bulletin révèle une vulnérabilité de haute gravité (CVE-2024-40709) dans Veeam Agent for Linux, qui permet à des utilisateurs locaux avec de faibles privilèges d’élever leurs permissions au niveau root.
Problèmes de sécurité dans Veeam ONE
Veeam ONE, la solution de surveillance et d’analyse de la société, présente également des vulnérabilités critiques :
- CVE-2024-42024 : Permet l’exécution de code à distance sur des machines avec Veeam ONE Agent installé.
- CVE-2024-42019 : Permet l’accès au hachage NTLM du compte de service de Veeam Reporter Service.
Risques dans Veeam Service Provider Console
Le bulletin signale aussi des vulnérabilités critiques dans Veeam Service Provider Console, dont :
- CVE-2024-38650 et CVE-2024-39714 : Permettent à des attaquants avec de faibles privilèges d’accéder à des informations sensibles et d’exécuter du code à distance sur le serveur VSPC.
Solutions et recommandations
Veeam a lancé des mises à jour pour tous les produits affectés :
- Veeam Backup & Replication : Version 12.2 (build 12.2.0.334)
- Veeam Agent for Linux : Version 6.2 (build 6.2.0.101)
- Veeam ONE : Version 12.2 (build 12.2.0.4093)
- Veeam Service Provider Console : Version 8.1 (build 8.1.0.21377)
Il est fortement recommandé à tous les utilisateurs de produits Veeam de mettre à jour leurs systèmes vers les versions les plus récentes afin de mitiger ces risques de sécurité.
Source : Veeam