Veeam répare des failles critiques dans Backup et Replication

En exploitant ces vulnérabilités, des utilisateurs authentifiés pourraient exécuter du code sur les serveurs de sauvegarde. Veeam invite les administrateurs à appliquer les correctifs sans délai.

Après une première alerte en début d’année, Veeam récidive en publiant des mises à jour de sécurité pour sa plateforme Backup et Replication pour corriger différentes vulnérabilités. Détaillées dans l’avis KB4830 du fournisseur, elles touchent les versions 12 et antérieures. L'ensemble des correctifs sont désormais disponibles dans la version 12.3.2.4465.

5 failles corrigées

Concrètement, il existe cinq problèmes de sécurité au total dont trois critiques (score CVSS de 9,9 sur 10) provoquant de l’exécution de code à distance (RCE) et deux (dont la gravité est jugée élevée) rendant possible la manipulation de fichiers ou aboutissant à l’élévation de privilèges. Les administrateurs devront se concentrer sur les trois premières référencées CVE-2026-21666, CVE-2026-21667 et CVE-2026-21708. Un attaquant disposant d’un certain niveau d’accès au sein de l'environnement, grâce par exemple à des identifiants compromis, pourrait tirer parti de ces vulnérabilités pour prendre le contrôle de l'infrastructure de sauvegarde.

Concernant les deux autres failles, la première est référencée CVE-2026-21668, permet aux attaquants ayant accès au référentiel de manipuler des fichiers arbitraires sur l'infrastructure de sauvegarde, ce qui pourrait affecter les données de sauvegarde stockées. La seconde, référencée CVE-2026-21672, est une faille d'élévation de privilèges locale. Des attaquants disposant déjà d'un accès limité pourraient l’exploiter pour élever leurs privilèges sur les serveurs Veeam.

Pas d’exploitation active, mais la vigilance est de mise

Dans son bulletin de sécurité, Veeam indique que certaines de ces failles ont été signalées via le programme de recherche de bug de Veeam sur HackerOne (plateforme de bug bounty). D’autres sont issues de découvertes faites lors de tests internes. Le spécialiste de la sauvegarde ne constate pas d’exploitation active, mais appelle néanmoins à la vigilance et recommande de passer sans délai à version corrigée de sa solution. L’éditeur précise que la divulgation des vulnérabilités incite souvent les cybercriminels à procéder à de la rétro-ingénierie des correctifs et à développer des exploits sur les systèmes non-corrigés.

Ce n’est pas la première fois que Veeam est confronté à des problèmes de sécurité. En 2024, les agences de sécurité ont averti que des groupes de ransomware exploitaient une faille critique d'exécution de code à distance sans authentification, référencée CVE-2024-40711.