Déjà touché en mars dernier par une grave faille de sécurité entrainant de l'exécution de code à distance, la solution Backup et Replication de Veeam est encore vulnérable à ce type d’attaque. L’éditeur a en effet identifié quatre failles, dont trois RCE (remote code exploit) permettant à une personne malveillante de causer de graves dommages à une base de données de sauvegarde mais sans toutefois la détruire.

La société a publié un correctif pour ces bogues, qui, selon elle, devrait être appliqué immédiatement. La plus grave de ces vulnérabilités, CVE-2025-59470, a un score de criticité de 9 et donnerait à un pirate la possibilité « de commettre des actes répréhensibles », a déclaré Rick Vanover, vice-président de la stratégie produit chez Veeam. Mais il a souligné qu'en raison de la nature immuable de la sauvegarde, les données ne peuvent pas être détruites. Veeam a découvert qu'une personne ayant le statut d'administrateur ou d'opérateur dans les versions 13 de la suite n’ayant pas été corrigéee (v13.0.1.180 et antérieures) disposent de plus d'autorisations qu'elle ne devrait.

Pas de signe d’exploitation de faille

En dehors de la CVE-2025-59470, Veeam a corrigé la CVE-2025-59469 (score CVSS de 7,2) qui débouche sur de l'écriture de fichiers en tant qu’utilisateur root. De son côté, la CVE-2025-55125 (score CVSS de 7,2) entraîne l'exécution de code à distance en tant que root pour créer un fichier de configuration de sauvegarde malveillant. Enfin, la CVE-2025-59468 (score CVSS de  6,7) facile les attaques RCE sur la bases de données Postgres en envoyant un paramètre de mot de passe malveillant. 

Le correctif pour la version 13.0.1.1071 de Backup et Replication sera « facile à installer » et « ne causera aucune perturbation », a déclaré M. VanoverCe mardi, le fournisseur n'avait reçu aucun rapport faisant état d'une exploitation, a-t-il ajouté. « La bonne nouvelle, c'est que si un serveur Veeam est endommagé, nous pouvons immédiatement en créer un autre vraisemblablement avec ce correctif installé - importer les sauvegardes et continuer. Les données essentielles ne sont absolument pas affectées par cela », a expliqué M. Vanover. « Le pire scénario serait que l'environnement [de sauvegarde] ne fonctionne pas correctement ou que la base de données Postgres soit endommagée sur le serveur Veeam, ce qui empêcherait les tâches de se dérouler comme prévu. » Dans ces cas-là, les administrateurs utilisant la suite de gestion et de surveillance Veeam One recevraient une alerte si, par exemple, une tâche ne parvenait pas à se connecter au serveur de sauvegarde ou si les tâches de sauvegarde échouaient.

Un exploit complexe à effectuer

Ces quatre failles corrigées ne sont pas simples à exploiter car elles nécessitent qu’un pirate, interne ou externe, obtienne des informations d'identification valides pour trois rôles spécifiques, fait remarquer Johannes Ullrich, doyen de la recherche au SANS Institute. D'autre part, selon lui, les systèmes de sauvegarde tels que Veeam sont la cible des pirates, en particulier ceux qui injectent des ransomwares, qui tentent souvent d'effacer les back-ups. « Les systèmes de sauvegarde doivent être régulièrement contrôlés pour s'assurer que les droits d'accès, tels que ceux mentionnés dans ces vulnérabilités, sont correctement gérés et accessibles uniquement aux utilisateurs qui en ont réellement besoin », a-t-il déclaré. « Les identifiants d'authentification doivent être vérifiés afin de s'assurer qu'ils sont conformes aux normes respectives. »

Kellman Meghu, architecte principal en sécurité chez DeepCove Cybersecurity, a déclaré que le problème réside dans la manière dont les failles pourraient être exploitées par un acteur malveillant pour obtenir les privilèges root sur la sauvegarde, « ce qui est le pire scénario possible en termes de compromission. D'après ce que l'on sait de l'exploit, le simple fait de pouvoir mettre à jour un fichier de configuration pourrait exécuter des commandes malveillantes avec les privilèges les plus élevés ». Les administrateurs qui ne peuvent pas appliquer rapidement les correctifs ou utilisant des versions non corrigées de Backup et Replication depuis un certain temps doivent d'abord vérifier tous les fichiers de configuration pour s'assurer qu'aucune modification n'a été apportée et qu'aucune action supplémentaire inattendue n'a été exécutée. Des alertes doivent être configurées pour chaque processus de backup exécuté, afin qu'il soit étroitement surveillé jusqu'à ce que la suite puisse être corrigée. « N'oubliez pas que si vous constatez un comportement inhabituel, cela signifie qu'un acteur malveillant ou une menace interne est à l'œuvre, et que vous devez mettre en place une réponse globale à l'incident », prévient ajoute-t-il, M. Meghu.