Veeam a corrigé une vulnérabilité critique d’exécution de code à distance identifiée comme CVE-2025-23120 dans son logiciel de sauvegarde et de réplication qui affecte les installations jointes à un domaine.
La faille a été révélée hier et affecte Veeam Backup & Replication version 12.3.0.310 et toutes les versions antérieures de la version 12. La société l’a corrigé dans la version 12.3.1( build 12.3.1.1139), qui a été publiée hier.
Selon un article technique de watchTowr Labs, qui a découvert le bogue, CVE-2025-23120 est une vulnérabilité de désérialisation dans Veeam.Sauvegarde.Gestionnaire d’ESX.xmlFrameworkDs et Veeam.Sauvegarde.Noyau.Classes. NET récapitulatives de sauvegarde.
Une faille de désérialisation survient lorsqu’une application traite incorrectement des données sérialisées, permettant aux attaquants d’injecter des objets malveillants, ou gadgets, qui peuvent exécuter du code nuisible.
L’année dernière, tout en corrigeant une faille précédente de désérialisation RCE découverte par le chercheur Florian Hauser. Pour corriger la faille, Veeam a introduit une liste noire des classes ou objets connus susceptibles d’être exploités.
Cependant, watchTowr a pu trouver une chaîne de gadgets différente qui n’était pas sur liste noire pour permettre l’exécution de code à distance.
« Quoi qu’il en soit, vous avez probablement deviné où cela se passe aujourd’hui – il semble que Veeam, bien qu’il soit le jouet préféré d’un gang de ransomwares, n’ait pas appris après la leçon donnée par Frycos dans une précédente étude publiée. Vous l’avez deviné, ils ont résolu les problèmes de désérialisation en ajoutant des entrées à leur liste noire de désérialisation. »
La bonne nouvelle est que la faille n’affecte que les installations Veeam Backup & Replication jointes à un domaine. La mauvaise nouvelle est que n’importe quel utilisateur de domaine peut exploiter cette vulnérabilité, la rendant facilement exploitable dans ces configurations.
Malheureusement, de nombreuses entreprises ont joint leur serveur Veeam à un domaine Windows, ignorant les meilleures pratiques de longue date de l’entreprise.
Les gangs de ransomwares ont déclaré à Breachtrace dans le passé que les serveurs Veeam Backup & Replication sont toujours des cibles, car cela leur permet de voler facilement des données et de bloquer les efforts de restauration en supprimant les sauvegardes.
Cette faille rendrait les installations Veeam encore plus précieuses en raison de la facilité avec laquelle les auteurs de menaces peuvent violer les serveurs.
Bien qu’il n’y ait aucun rapport d’exploitation de cette faille dans la nature, watchTowr a partagé suffisamment de détails techniques pour qu’il ne soit pas surprenant de voir une preuve de concept (PoC) bientôt publiée.
Les entreprises qui utilisent Veeam Backup & Replication doivent faire de la mise à niveau vers la version 12.3.1 une priorité dès que possible.
De plus, étant donné l’intérêt des gangs de ransomware pour cette application, il est fortement conseillé de consulter les meilleures pratiques de Veeam et de déconnecter le serveur de votre domaine.