Patchez Veeam Backup & Replication : 2 nouvelles failles critiques RCE ont été découvertes !
Veeam a publié un nouveau bulletin de sécurité pour évoquer trois vulnérabilités, dont 2 failles critiques mettant en péril les serveurs avec Veeam Backup & Replication 12 intégrés à un domaine Active Directory. Faisons le point.
Deux nouvelles RCE pour Veeam Backup & Replication
L'annonce de Veeam met en lumière trois failles de sécurité, dont deux sont particulièrement préoccupantes et ont été classées comme "critiques" avec un score CVSS v3.1 de 9.9 sur 10. Elles touchent le logiciel Veeam Backup & Replication et permettent à un utilisateur du domaine (authentifié), avec des privilèges limités, d'exécuter du code à distance sur les serveurs où Veeam Backup & Replication est en cours d'exécution. Cela signifie qu'un attaquant pourrait potentiellement prendre le contrôle total du système.
- CVE-2025-48983 : cette faille se trouve dans le service de montage de Veeam Backup & Replication. Découverte par CODE WHITE, elle permet l'exécution de code à distance (RCE) sur le serveur de sauvegarde.
- CVE-2025-48984 : découverte par Sina Kheirkhah et Piotr Bazydlo de watchTowr, cette vulnérabilité permet, elle aussi, une exécution de code à distance (RCE) sur le serveur de sauvegarde.
Ces deux failles affectent les installations de Veeam Backup & Replication v12 antérieures à la version 12.3.2.4165, à condition que les serveurs soient membres d'un domaine Active Directory. Ces deux nouvelles vulnérabilités illustrent bien le fait que la jonction au domaine Active Directory augmente considérablement la surface d'attaque de l'infrastructure de sauvegarde. Ce n'est pas une bonne pratique, à moins d'utiliser un domaine de management configuré de façon à bien gérer l'isolement (voir cet article).
Veeam Backup & Replication v13 n'est pas impacté, mais si vous utilisez la v12, Veeam recommande d'installer la version patchée : Veeam Backup & Replication 12.3.2.4165.
L'agent Veeam pour Windows également touché
Une troisième vulnérabilité est référencée dans le bulletin de sécurité : CVE-2025-48982. Cette vulnérabilité avec une sévérité moindre (score CVSS de 7.3) concerne Veeam Agent pour Windows. D'après Veeam, elle permet une élévation de privilèges locale (LPE) si un administrateur système est piégé et qu'il restaure un fichier malveillant. Elle affecte toutes les versions 6.x de l'agent antérieures à la version 6.3.2.1302.
Attention, pour ces trois vulnérabilités, Veeam précise : "Les versions de produits non prises en charge ne sont pas testées, mais elles sont probablement affectées et doivent être considérées comme vulnérables."
Si vous utilisez les produits Veeam dans ces versions, vous savez ce qu'il vous reste à faire !
