Veeam Software a publié une mise à jour urgente pour sa plateforme de sauvegarde suite à la découverte d’une grave vulnérabilité (CVE-2025-23121) permettant l’exécution de code à distance (RCE) sur des serveurs de sauvegarde, ce qui représente un risque potentiel élevé pour des milliers d’organisations dans le monde.
Une vulnérabilité critique, score CVSS de 9,9
Ce défaut de sécurité, noté 9,9 sur 10 sur l’échelle CVSS, affecte toutes les versions antérieures à la 12.3.2 (build 12.3.2.3617) de Veeam Backup & Replication, y compris la version populaire 12.3.1.1139. Selon l’entreprise, cette vulnérabilité permet à un utilisateur authentifié du domaine d’exécuter du code arbitraire sur le serveur de sauvegarde, compromettant ainsi complètement l’infrastructure de sauvegarde des données.
La vulnérabilité a été signalée par les équipes de sécurité de CODE WHITE GmbH et watchTowr, qui ont alerté sur la possibilité que le correctif précédent pour une vulnérabilité similaire (CVE-2025-23120) puisse être contourné, ouvrant ainsi la porte à des attaques ciblées, même après des mises à jour récentes.
D’autres vulnérabilités corrigées
En plus de ce défaut critique, Veeam a corrigé deux autres vulnérabilités notables :
- CVE-2025-24286 (CVSS 7,2) : permettait à un utilisateur authentifié avec le rôle d’Opérateur de Sauvegarde de modifier des tâches de sauvegarde et d’exécuter du code arbitraire.
- CVE-2025-24287 (CVSS 6,1) : concernait Veeam Agent pour Microsoft Windows, permettant à des utilisateurs locaux de modifier des répertoires et d’exécuter du code avec des privilèges élevés. Cette dernière vulnérabilité a été corrigée dans la version 6.3.2 (build 6.3.2.1205) de l’agent.
Importance et risques
Selon les données de Rapid7, plus de 20 % de leurs interventions en matière d’incidents en 2024 étaient liées à l’exploitation ou à l’accès à des systèmes Veeam, illustrant l’attractivité de cette plateforme pour les cybercriminels une fois qu’ils ont réussi à obtenir un accès initial à un environnement corporatif.
Il est crucial de procéder rapidement à la mise à jour, car après la publication du correctif et la divulgation publique du défaut, les attaquants commencent rapidement à analyser et à essayer d’exploiter les installations non mises à jour.
Recommandations pour les administrateurs
- Mise à jour immédiate vers Veeam Backup & Replication 12.3.2 (build 12.3.2.3617) ou supérieur.
- Vérifiez également la mise à jour de Veeam Agent pour Microsoft Windows à la version 6.3.2.
- Suivez les meilleures pratiques de sécurité : restreindre l’accès aux serveurs de sauvegarde, utiliser des comptes de service avec des privilèges minimaux et surveiller les journaux d’accès.
- Restez informé des notifications de sécurité futures et des vulnérabilités associées à l’infrastructure de sauvegarde.
Engagement de Veeam envers la transparence
Veeam a rappelé dans son communiqué qu’elle maintient un programme de divulgation responsable des vulnérabilités (VDP) et effectue des audits de code afin de garantir la protection de ses clients. Chaque fois qu’une vulnérabilité est découverte, l’entreprise publie des détails techniques et des recommandations, soulignant qu’il est essentiel d’appliquer les correctifs sans tarder pour éviter l’ingénierie inverse du correctif et les attaques ultérieures.
Dans un contexte où la sauvegarde est devenue l’un des objectifs principaux des ransomwares et d’autres menaces avancées, maintenir Veeam à jour et auditer les accès est impératif pour protéger les actifs numériques de toute organisation.
Source : Veeam
