Faille dans Veeam : n’importe quel utilisateur du domaine peut compromettre le serveur !
Une nouvelle faille de sécurité critique découverte dans Veeam Backup & Replication met en évidence l'importance de ne pas intégrer le serveur de sauvegarde au domaine Active Directory. Voici ce que vous devez savoir sur cette menace potentielle.
Veeam a publié un nouveau bulletin de sécurité pour évoquer plusieurs failles de sécurité corrigées dans son produit phare, Veeam Backup & Replication (VBR). Parmi elles, une vulnérabilité critique pouvant mener à une exécution de code à distance (RCE).
Associée à la référence CVE-2025-23121, cette faille affecte exclusivement les installations de Veeam Backup & Replication présentes sur un serveur intégré à un domaine Active Directory. Bien que l'exploitation nécessite une authentification, une attaque peut être menée à partir de n'importe quel utilisateur, peu importe le niveau de privilèges de ce dernier. Découverte par les chercheurs en sécurité de watchTowr et CodeWhite, cette vulnérabilité peut être exploitée dans un scénario d'attaque peu complexe.
Vulnérabilité permettant l'exécution de code à distance (RCE) sur le serveur de sauvegarde par un utilisateur de domaine authentifié.", précise le bulletin de Veeam. Ceci peut mener à la compromission du serveur Veeam.
Bien que l'intégration au domaine ne soit pas un prérequis, les serveurs de sauvegarde sont malheureusement souvent intégrés au domaine. L'occasion de rappeler que c'est une mauvaise pratique et que c'est déconseillé pour des raisons de sécurité : la preuve. Ceci est d'autant plus vrai que ce n'est pas la première fois qu'une CVE impacte les instances liées à un domaine. En mars dernier, on se souvient de la vulnérabilité associée à la référence CVE-2025-23120. N'oubliez pas que les gangs de ransomwares apprécient ces vulnérabilités...
Enfin, sachez que cette faiblesse affecte Veeam Backup & Replication 12.3.1.1139 et toutes les versions antérieures. "Les versions de produits non prises en charge ne sont pas testées, mais elles sont probablement affectées et doivent être considérées comme vulnérables.", précise Veeam.
Trois failles de sécurité patchées dans les produits Veeam
La CVE-2025-23121 n'est pas la seule vulnérabilité corrigée par Veeam. L'entreprise américaine a également patché 2 autres failles de sécurité :
- CVE-2025-24286 dans Veeam Backup & Replication : une vulnérabilité permettant à un utilisateur authentifié avec le rôle d'opérateur de sauvegarde de modifier les jobs de sauvegarde, ce qui pourrait permettre d'exécuter du code arbitraire.
- CVE-2025-24287 dans Veeam Agent for Windows : une vulnérabilité permettant aux utilisateurs locaux de modifier le contenu des répertoires, ce qui permet l'exécution de code arbitraire sur le système local avec des permissions élevées.
A vos patchs !
Je pense qu’il y a une faute de frappe dans le texte de l’article :
« Bien que l’intégration au domaine soit un prérequis ».
Il devrait être écrit
« Bien que la NON intégration au domaine soit un prérequis »
Clairement il ne faut pas intégrer le serveur Veeam au domaine AD.
Hello,
Effectivement, il manque des mots dans cette phrase… En l’occurrence la négation. Je vais corriger ça de suite, merci.
Bonjour Florian et merci pour cet article
Concernant l’intégration au domaine, j’ai eu plusieurs retours qui m’ont donné comme solution de mettre en place un environnement AD spécifique à Veeam avec une relation d’approbation unidirectionnelle externe entre mon AD de production et mon AD de sauvegarde.
De sorte que mon domaine principal fasse confiance à mon domaine de sauvegarde, mais pas l’inverse.
Penses tu que cette approche soit viable d’un point de vue sécurité ?
Bonjour,
C est en effet la solution la plus recommende dans les bonnes pratiques de veeam mais malheureusement c est quand même bien plus complexe à gérer qu avoir un serveur en workgroup donc c est une solution qui n est quasiment jamais retenu.