La nouvelle faille découle du patch précédemment incomplet.
Le fournisseur de solutions de résilience de données Veeam Software a publié un correctif critique pour son produit de sauvegarde et de réplication Veeam. La mise à jour résout un problème de désérialisation qui peut entraîner une exécution de code distante en tant qu’utilisateur système sur le serveur Windows sous-jacent.
Le problème peut être exploité par n’importe quel compte authentifié qui fait partie du groupe d’utilisateurs locaux sur l’hôte Windows, mais des serveurs Veeam joints à un domaine Active Directory sont à risque beaucoup plus élevé, car dans les configurations par défaut, le groupe d’utilisateurs de domaine est ajouté au groupe d’utilisateurs locaux sur des ordinateurs jointes au domaine. Cela signifie que si les attaquants parviennent à exécuter du code malveillant sur n’importe quel ordinateur Windows sur le réseau – un événement courant – ils peuvent facilement utiliser le compte actif de cet ordinateur pour exploiter cette vulnérabilité sur le serveur de sauvegarde et de réplication Veeam s’il est joint au même domaine publicitaire.
Bien que ce problème ait été attribué à un seul identifiant CVE, CVE-2025-23120, les chercheurs de la société de sécurité Watchtowr soutiennent qu’il s’agit en fait de deux vulnérabilités, car il y a deux voies distinctes pour exploiter le problème.
Veeam conseille aux utilisateurs de mettre à niveau vers Veeam Backup & Replication 12.3.1 ou installer le hotfix pour la version 12.3 si une mise à niveau ne peut pas être effectuée immédiatement. Le hotfix ne fonctionne que sur les déploiements qui n’ont pas eu d’autres hotfix appliqués précédemment car il pourrait les remplacer.
La nouvelle faille Veeam provient d’un patch incomplet précédent
Les nouveaux problèmes de désérialisation découverts par Watchtowr proviennent d’un patch incomplet pour une faille plus ancienne corrigée en 2024 sous le nom de CVE-2024-40711 et qui a ensuite été exploitée par deux gangs de ransomware. En fait, le produit de sauvegarde et de réplication Veeam a été une cible pour les gangs de ransomware et d’autres groupes cybercriminaux à plusieurs reprises depuis 2023.
La sérialisation est le processus de transformation des données en un flux d’octets pour la transmission à une autre application et la désérialisation est l’inverse de ce processus. La désérialisation des entrées provenant de sources non fiables a été la cause de nombreuses vulnérabilités d’exécution de code distantes dans une variété de langages de programmation.
Pourquoi les listes noires sont mauvaises
Les développeurs d’applications ont pris l’habitude d’atténuer les risques de désérialisation en créant des listes noires de classes qui pourraient être dangereuses lorsqu’elles sont désérialisées, et comme l’explique Watchtowr, il s’agissait également de l’approche de Veeam lors de la lutte contre le CVE-2024-40711. Cependant, l’histoire a montré que les listes noires sont rarement complètes.
« Les listes noires (également connues sous le nom de listes de blocs ou dissales) sont basées sur une idée très optimiste (et prouvable) que nous pouvons simplement faire une liste de toutes les mauvaises classes, et nous gardons simplement un enregistrement de tout ce qui peut être fait et mettant à jour notre liste au fur et à mesure que de nouveaux mauvais sont introduits », ont écrit les chercheurs.
“Luckily, as an industry, we actually already have a list of all the bad classes in the world, and so this is flawless logic. There are a couple of bitter truths though: This is a lie. While we can agree that nowadays it’s extremely hard to find new deserialization gadgets in programming languages and frameworks (although still possible), products have their own codebase and can contain abusable classes that can be misused during deserialization,” the researchers ajouté. «C’est avant même que nous ne passions aux bibliothèques tierces.»
Les développeurs de sauvegarde et de réplication Veeam conservent une liste de gadgets qui sont empêchés d’être désérialisés via .NET binaryformatter. Cette liste est située dans le code de veeam.backup.common.sources.system.io.binaryformatter.blacklist.txt, donc lorsque CVE-2024-40711 a été découvert, leur correctif était d’ajouter le gadget System.Runtime.remoting.objref à celui-ci.
Problème résolu, jusqu’à ce que le chercheur de Watchtowr Sina Kheirkhah trouve des classes plus exploitables, System.Codedom.C. Ceux-ci ont également été ajoutés à la liste noire.
Désormais, le chercheur de Watchtowr, Piotr Bazydlo, a trouvé des gadgets exploitables supplémentaires une fois de plus Veeam.backup.esxmanager.xmlframeworkds et veeam.backup.core.backupsummary, qui étendent tous deux la classe de jeu de données, un RCE très populaire Gadged pour la désérialisation. Il s’agit du nouveau défaut CVE-2025-23120 modifié mercredi.
En fait, l’exploitation du CVE-2025-23120 ne nécessite que de simples modifications à l’exploit de preuve de concept précédemment publié pour CVE-2024-42455.
« Nous espérons que nous avons fourni une autre preuve que la protection de la désérialisation s’évanouit avec une liste noire devrait être illégale », ont écrit les chercheurs. «Peu importe à quel point votre liste est parfaite, ou« perfectionn »et à l’état de votre liste, quelqu’un trouvera finalement un moyen de vous en abuser.»
