Plusieurs failles critiques corrigées dans Veeam Backup et Replication

Le spécialiste de la sauvegarde Veeam a publié un correctif pour combler quatre failles dans sa suite Backup et Replication. Il est conseillé aux utilisateurs de la v13 de vérifier leurs fichiers de configuration et de surveiller de près les tâches de sauvegarde.

Déjà touché en mars dernier par une grave faille de sécurité entrainant de l’exécution de code à distance, la solution Backup et Replication de Veeam est encore vulnérable à ce type d’attaque. L’éditeur a en effet identifié quatre failles, dont trois RCE (remote code exploit) permettant à une personne malveillante de causer de graves dommages à une base de données de sauvegarde mais sans toutefois la détruire.

La société a publié un correctif pour ces bogues, qui, selon elle, devrait être appliqué immédiatement. La plus grave de ces vulnérabilités, CVE-2025-59470, a un score de criticité de 9 et donnerait à un pirate la possibilité « de commettre des actes répréhensibles », a déclaré Rick Vanover, vice-président de la stratégie produit chez Veeam. Mais il a souligné qu’en raison de la nature immuable de la sauvegarde, les données ne peuvent pas être détruites. Veeam a découvert qu’une personne ayant le statut d’administrateur ou d’opérateur dans les versions 13 de la suite n’ayant pas été corrigéee (v13.0.1.180 et antérieures) disposent de plus d’autorisations qu’elle ne devrait.

Pas de signe d’exploitation de faille

En dehors de la CVE-2025-59470, Veeam a corrigé la CVE-2025-59469 (score CVSS de 7,2) qui débouche sur de l’écriture de fichiers en tant qu’utilisateur root. De son côté, la CVE-2025-55125 (score CVSS de 7,2) entraîne l’exécution de code à distance en tant que root pour créer un fichier de configuration de sauvegarde malveillant. Enfin, la CVE-2025-59468 (score CVSS de  6,7) facile les attaques RCE sur la bases de données Postgres en envoyant un paramètre de mot de passe malveillant.

Le correctif pour la version 13.0.1.1071 de Backup et Replication sera « facile à installer » et « ne causera aucune perturbation », a déclaré M. Vanover. Ce mardi, le fournisseur n’avait reçu aucun rapport faisant état d’une exploitation, a-t-il ajouté. « La bonne nouvelle, c’est que si un serveur Veeam est endommagé, nous pouvons immédiatement en créer un autre – vraisemblablement avec ce correctif installé – importer les sauvegardes et continuer. Les données essentielles ne sont absolument pas affectées par cela », a expliqué M. Vanover. « Le pire scénario serait que l’environnement [de sauvegarde] ne fonctionne pas correctement ou que la base de données Postgres soit endommagée sur le serveur Veeam, ce qui empêcherait les tâches de se dérouler comme prévu. » Dans ces cas-là, les administrateurs utilisant la suite de gestion et de surveillance Veeam One recevraient une alerte si, par exemple, une tâche ne parvenait pas à se connecter au serveur de sauvegarde ou si les tâches de sauvegarde échouaient.

Content retrieved from: https://www.lemondeinformatique.fr/actualites/lire-plusieurs-failles-critiques-corrigees-dans-veeam-backup-et-replication-98977.html.