Veeam a publié des mises à jour de sécurité pour corriger un ensemble de 18 failles de sécurité présentes dans plusieurs de ses produits, dont la solution Veeam Backup & Replication. Faisons le point.
Parmi les 5 failles de sécurité critiques corrigées par l’éditeur Veeam, la plus dangereuse est la vulnérabilité associée à la référence CVE-2024-40711 (score CVSS v3.1 : 9.8). En l’exploitant, un attaquant peut exécuter du code à distance sur l’instance Veeam Backup & Replication, sans être authentifié.
Voici les 4 autres vulnérabilités critiques associées à ce bulletin de sécurité :
- CVE-2024-42024 (score CVSS : 9.1) : une vulnérabilité dans Veeam ONE qui permet à un attaquant en possession des informations d’identification du compte de service de l’Agent Veeam ONE de réaliser une exécution de code à distance sur la machine sous-jacente.
- CVE-2024-42019 (score CVSS : 9.0) : une vulnérabilité dans Veeam ONE qui permet à un attaquant d’accéder au hash NTLM du compte de service Veeam Reporter Service.
- CVE-2024-38650 (score CVSS : 9.9) : une vulnérabilité dans Veeam Service Provider Console (VPSC) qui permet à un attaquant standard d’accéder au hash NTLM du compte de service sur le serveur.
- CVE-2024-39714 (score CVSS : 9.9) : une vulnérabilité dans Veeam Service Provider Console (VPSC) qui permet à un utilisateur standard de télécharger des fichiers arbitraires sur le serveur, ce qui entraîne l’exécution de code à distance sur le serveur.
En complément, Veeam a corrigé 13 autres failles de sécurité, dont 5 dans la solution Veeam Backup & Replication.
Comment se protéger ?
Vous l’aurez compris, plusieurs produits Veeam sont affectés par ces failles de sécurité. D’après le bulletin de sécurité de l’éditeur, voici les versions à installer pour se protéger :
- Veeam Backup & Replication 12.2 : build 12.2.0.334
- Veeam Agent for Linux 6.2 : build 6.2.0.101
- Veeam ONE v12.2 : build 12.2.0.4093
- Veeam Service Provider Console v8.1 : build 8.1.0.21377
- Veeam Backup for Nutanix AHV Plug-In : build 12.6.0.632
- Veeam Backup for Oracle Linux Virtualization Manager et Red Hat Virtualization Plug-In : build 12.5.0.299
Si vous utilisez ces solutions, et notamment Veeam Backup & Replication, il est recommandé d’appliquer le correctif dès que possible. Par le passé, plusieurs groupes de cybercriminels ont ciblés les instances VBR, notamment les gangs de ransomware Cuba et BlackBasta.
Il y a quelques jours, Veeam a dévoilé la nouvelle version de sa solution « Veeam Data Platform 12.2 » avec comme nouveauté principale la prise en charge de l’hyperviseur Proxmox VE.