Des vulnérabilités critiques dans Veeam Backup & Replication pourraient permettre à des utilisateurs authentifiés d’exécuter du code sur des serveurs de sauvegarde, ce qui entraînerait des appels à des correctifs urgents.
Le fournisseur de sauvegarde Veeam a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités dans sa plateforme de sauvegarde et de réplication largement utilisée, notamment trois failles critiques qui pourraient permettre aux utilisateurs authentifiés d’exécuter du code sur des serveurs de sauvegarde.
Détaillées dans l’avis KB4830 de la société, les vulnérabilités affectent Veeam Backup & Replication 12.3.2.4165 et les versions antérieures 12, avec des correctifs désormais disponibles dans la version 12.3.2.4465. La divulgation couvre cinq problèmes de sécurité au total, dont trois bogues d’exécution de code à distance (RCE) et deux vulnérabilités de haute gravité permettant la manipulation de fichiers ou l’élévation de privilèges.
Chacune des trois failles critiques présente un score CVSS de 9,9 sur 10 et permet aux utilisateurs authentifiés d’exécuter du code sur les composants de l’infrastructure de sauvegarde sous certaines conditions.
Les systèmes de sauvegarde sont devenus des cibles de plus en plus précieuses pour les attaquants, en particulier pour les opérateurs de ransomwares, car les compromettre peut compromettre les capacités de récupération et permettre la destruction ou l’exfiltration de données à grande échelle.
Des failles permettent l’élévation des privilèges et le RCE
Les problèmes les plus graves abordés dans l’avis sont les bugs RCE qu’un utilisateur de domaine authentifié peut exploiter pour exécuter du code sur le Veeam Backup Server ou les composants associés. En pratique, cela signifie qu’un attaquant disposant déjà d’un certain niveau d’accès à l’environnement, par exemple via des informations d’identification compromises, pourrait exploiter les failles pour prendre le contrôle de l’infrastructure de sauvegarde. Les trois bogues sont suivis comme CVE-2026-21666, CVE-2026-21667 et CVE-2026-21708.
L’avis détaille également deux failles de grande gravité. CVE-2026-21668 permet aux attaquants ayant accès au référentiel de manipuler des fichiers arbitraires sur l’infrastructure de sauvegarde, affectant potentiellement les données de sauvegarde stockées, et CVE-2026-21672, une faille d’élévation de privilèges locale, pourrait permettre aux attaquants disposant déjà d’un accès limité d’élever leurs privilèges sur les serveurs Veeam.
L’avis indique que certaines vulnérabilités ont été signalées via le programme de bug bounty de Veeam sur HackerOne, tandis que d’autres ont été découvertes lors de tests internes. Bien que Veeam n’ait mentionné aucune exploitation sauvage, les bugs de sauvegarde et de réplication ont été utilisés à plusieurs reprises dans le passé.
Des correctifs sont disponibles
Veeam a averti que les organisations devraient appliquer rapidement la version corrigée, notant que les révélations de vulnérabilités déclenchent fréquemment des tentatives d’attaquants de procéder à une ingénierie inverse des correctifs et de développer des exploits pour les systèmes non corrigés.
Les problèmes ont été résolus dans Veeam Backup & Replication 12.3.2.4465, et les organisations exécutant des versions non prises en charge ou plus anciennes doivent supposer qu’elles sont vulnérables et effectuer une mise à niveau immédiatement. L’urgence autour des derniers bugs est amplifiée par le fait que Veeam Backup & Replication a été confronté à plusieurs reprises à des vulnérabilités critiques ces dernières années, dont certaines ont été activement exploitées par des attaquants.
En 2024, les agences de sécurité ont averti que des groupes de ransomwares exploitaient CVE-2024-40711, une faille critique de la plateforme qui permettait l’exécution de code à distance sans authentification. Les attaquants ont utilisé cette vulnérabilité pour compromettre les serveurs de sauvegarde et supprimer les données de récupération dans le cadre de campagnes de ransomware. Cette tendance s’est poursuivie en 2025, lorsque Veeam a corrigé CVE-2025-23120, un autre bug RCE critique qui permettait à tout utilisateur de domaine authentifié d’exécuter du code sur un serveur de sauvegarde dans des environnements joints à un domaine.
Le flux constant de bugs de grande gravité, ainsi que l’historique d’exploitation dans le monde réel, rendent l’application de correctifs en temps opportun essentielle pour les organisations qui exécutent Veeam Backup & Replication. Les organisations doivent traiter les systèmes de sauvegarde comme une infrastructure hautement privilégiée nécessitant des contrôles d’accès et une isolation stricts.
