Veeam met en garde contre des vulnérabilités critiques dans sa Console de fournisseur de services

Veeam alerte sur de graves vulnérabilités de sécurité dans ses produits

Veeam Software a annoncé la publication de mises à jour de sécurité pour traiter deux vulnérabilités critiques dans sa Console de fournisseurs de services (VSPC), une plateforme conçue pour gérer les services de Backup as a Service (BaaS) et Disaster Recovery as a Service (DRaaS). Ces failles, identifiées comme CVE-2024-42448 et CVE-2024-42449, ont été découvertes lors d’audits internes et représentent des risques significatifs si les correctifs correspondants ne sont pas appliqués.

Une vulnérabilité critique d’exécution de code à distance

La vulnérabilité la plus grave, CVE-2024-42448, présente un score de 9,9 sur 10 sur l’échelle CVSS, soulignant sa dangerosité. Cette faille permet aux attaquants d’exécuter du code arbitraire sur des serveurs VSPC non mis à jour depuis une machine avec un agent de gestion autorisé. Selon Veeam, ce type de vulnérabilité peut être exploité pour compromettre des serveurs et prendre un contrôle total sur eux.

D’autre part, la vulnérabilité CVE-2024-42449, avec une gravité élevée et un score CVSS de 7,1, permet aux attaquants de voler des hashes NTLM du serveur VSPC et de supprimer des fichiers, ce qui pourrait entraîner des pertes de données significatives et l’interruption de services critiques.

Ces vulnérabilités affectent les versions 8.1.0.21377 et antérieures de la console, y compris les versions 7 et 8. De plus, Veeam prévient que les produits non pris en charge doivent également être considérés comme vulnérables, bien qu’ils n’aient pas fait l’objet de tests spécifiques.

L’importance de la mise à jour immédiate

Dans son communiqué, Veeam a exhorté les fournisseurs de services utilisant des versions compatibles de VSPC à installer les mises à jour dès que possible pour atténuer les risques associés. Les utilisateurs de versions non prises en charge, quant à eux, sont fortement recommandés de mettre à jour vers la version la plus récente de la console.

L’avertissement survient à un moment où les attaques exploitant des vulnérabilités similaires se sont révélées particulièrement destructrices. Selon des rapports récents de Sophos X-Ops, une faille d’exécution de code à distance dans le logiciel Backup & Replication de Veeam, identifiée en septembre 2024 comme CVE-2024-40711, a été utilisée pour déployer des ransomwares comme Frag, Akira et Fog sur des serveurs non protégés.

Mesures proactives de sécurité

Veeam souligne son engagement envers la sécurité de ses produits, mettant en évidence l’importance d’appliquer les mises à jour de sécurité pour éviter l’exploitation de systèmes vulnérables. Une fois qu’un correctif est rendu public, il est courant que les attaquants tentent une ingénierie inverse pour identifier et exploiter les failles dans les systèmes non mis à jour.

En outre, la compagnie met l’accent sur le fait que ces vulnérabilités ne peuvent être exploitées que si l’agent de gestion est autorisé sur le serveur cible, un détail qui souligne l’importance de mettre en place des politiques d’accès et de surveillance strictes.

L’impact sur l’industrie

Avec plus de 550 000 clients dans le monde, dont 74 % des entreprises du Global 2.000 et 82 % des entreprises Fortune 500, les outils de Veeam sont essentiels pour la continuité opérationnelle de nombreuses organisations. Cet incident met en évidence le besoin croissant de maintenir des pratiques de cybersécurité robustes dans un environnement de menaces en constante évolution.

La réponse rapide de Veeam face à ces vulnérabilités démontre le rôle critique joué par les processus d’audit interne et les programmes de divulgation de vulnérabilités dans la protection des systèmes modernes. Cependant, comme l’ont souligné les experts en cybersécurité, la clé pour prévenir les attaques réside dans la mise à jour opportune de tous les systèmes affectés.

via: Veeam et Open Security