Le fournisseur a publié un correctif pour combler quatre failles dans sa suite phare de sauvegarde et de réplication ; Il est conseillé aux utilisateurs de la version 13 d’auditer leurs fichiers de configuration de sauvegarde et de surveiller de près les tâches de sauvegarde.
Veeam affirme que quatre vulnérabilités pourraient permettre à une personne exerçant certains rôles de surveillance de sa suite phare de sauvegarde et de réplication d’endommager gravement – mais pas de détruire – une base de données de sauvegarde.
La société a déjà publié un correctif pour les bogues qui, selon elle, devrait être appliqué immédiatement.
La pire des vulnérabilités, CVE-2025-59470, a un score de criticité de 9 et permettrait à un acteur malveillant de « faire quelque chose de néfaste », a déclaré Rick Vanover, vice-président de la stratégie produit de Veeam.
Mais il a souligné qu’en raison de la nature immuable de la sauvegarde, les données ne peuvent pas être détruites.
Le problème : Veeam a découvert qu’une personne ayant le rôle d’administrateur de sauvegarde, d’opérateur de sauvegarde ou d’opérateur de bande dans la version 13 non corrigée de la suite (versions 13.0.1.180 et antérieures) dispose de plus d’autorisations qu’elle ne le devrait. Le patch corrige cela.
Plus précisément, les failles corrigées sont :
- CVE-2025-59470 (avec un score CVSS de 9) permet à un opérateur de sauvegarde ou de bande d’effectuer une exécution de code à distance (RCE) en tant qu’utilisateur Postgres en envoyant un intervalle ou un paramètre d’ordre malveillant ;
- CVE-2025-59469 (avec un score de gravité de 7,2) permet à un opérateur de sauvegarde ou de bande d’écrire des fichiers en tant que root ;
- CVE-2025-55125 (avec un score de gravité de 7,2) permet à un opérateur de sauvegarde ou de bande d’effectuer une exécution de code à distance (RCE) en tant que root en créant un fichier de configuration de sauvegarde malveillant ;
- CVE-2025-59468 (avec un score de gravité de 6,7) permet à un administrateur de sauvegarde d’effectuer une exécution de code à distance (RCE) en tant qu’utilisateur Postgres en envoyant un paramètre de mot de passe malveillant.
Le correctif vers la version 13.0.1.1071 sera une « installation facile » qui ne perturbera pas, a déclaré Vanover. Mardi après-midi, Veeam n’avait reçu aucun rapport d’exploitation, a-t-il ajouté.
« La bonne nouvelle est que si un serveur Veeam est en panne, nous pouvons créer un nouveau serveur immédiatement – probablement avec ce correctif installé – importer les sauvegardes et continuer. Les données de base ne sont absolument pas affectées par cela », a déclaré Vanover. « Le pire serait que l’environnement (de sauvegarde) ne fonctionne pas correctement ou que la base de données Postgres soit perturbée sur le serveur Veeam, de sorte que les tâches pourraient ne pas se comporter comme on pourrait s’y attendre.
Dans ces cas, les administrateurs utilisant la suite de gestion de surveillance Veeam One recevaient une alerte si, par exemple, une tâche ne parvenait pas à se connecter au serveur de sauvegarde ou si des tâches de sauvegarde échouaient.
Les quatre vulnérabilités corrigées sont moins graves que certaines car un attaquant, interne ou externe, aurait besoin d’informations d’identification valides pour les trois rôles spécifiques, a noté Johannes Ullrich, doyen de la recherche à l’Institut SANS.
D’un autre côté, a-t-il ajouté, les systèmes de sauvegarde comme Veeam sont des cibles pour les attaquants, en particulier ceux qui injectent des ransomwares, qui tentent souvent d’effacer les sauvegardes.
« Les systèmes de sauvegarde doivent être régulièrement audités pour garantir que les droits d’accès, tels que ceux mentionnés dans cette vulnérabilité, sont correctement gérés et accessibles uniquement aux utilisateurs qui en ont réellement besoin », a-t-il déclaré. « Les informations d’authentification doivent être examinées pour garantir qu’elles sont conformes aux normes respectives. »
Kellman Meghu, architecte de sécurité principal de la société canadienne de gestion des risques DeepCove Cybersecurity, a déclaré que la préoccupation est de savoir comment les vulnérabilités pourraient être utilisées par un acteur malveillant pour obtenir les privilèges root sur la sauvegarde, « ce qui est le pire qu’il puisse arriver en matière de compromission. D’après les bruits de l’exploit, le simple fait de pouvoir mettre à jour un fichier de configuration pourrait être la voie pour exécuter des commandes malveillantes avec les privilèges les plus élevés. »
Les administrateurs qui ne peuvent pas appliquer de correctifs rapidement ou qui exécutent des versions non corrigées depuis un certain temps doivent d’abord auditer tous les fichiers de configuration et toutes les opérations pour s’assurer qu’aucune modification n’a été apportée aux fichiers de configuration ni aucune exécution d’actions inattendues supplémentaires. Des alertes doivent être définies pour chaque exécution du processus de sauvegarde, afin qu’elles soient étroitement surveillées jusqu’à ce que la suite puisse être corrigée.
« Gardez à l’esprit », a-t-il ajouté, « si vous constatez un comportement inhabituel, c’est le signe qu’il existe un acteur malveillant ou une menace interne à l’œuvre, et vous devrez adopter une réponse globale aux incidents. »
