Veeam a averti aujourd’hui ses clients de corriger une vulnérabilité de sécurité critique qui permet aux attaquants non authentifiés de se connecter à n’importe quel compte via Veeam Backup Enterprise Manager (VBEM).

VBEM est une plateforme Web qui permet aux administrateurs de gérer les installations Veeam Backup & Replication via une console Web unique. Il permet de contrôler les tâches de sauvegarde et d’effectuer des opérations de restauration sur l’infrastructure de sauvegarde d’une organisation et les déploiements à grande échelle.

Il est important de noter que VBEM n’est pas activé par défaut et que tous les environnements ne sont pas sensibles aux attaques exploitant la vulnérabilité CVE-2024-29849, que Veeam a évaluée avec un score de base CVSS de 9,8/10.

« Cette vulnérabilité dans Veeam Backup Enterprise Manager permet à un attaquant non authentifié de se connecter à l’interface Web de Veeam Backup Enterprise Manager comme n’importe quel utilisateur », explique la société.

Les administrateurs qui ne peuvent pas passer immédiatement à la version 12.1.2.172 de VBEM, qui corrige cette faille de sécurité, peuvent toujours l’atténuer en arrêtant et en désactivant les services VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) et VeeamRESTSvc (Veeam RESTful API).

S’il n’est pas actuellement utilisé, Veeam Backup Enterprise Manager peut également être désinstallé en suivant ces instructions pour supprimer le vecteur d’attaque.

Aujourd’hui, Veeam a également corrigé deux vulnérabilités VBEM de gravité élevée, l’une qui permet la prise de contrôle de compte via le relais NTLM (CVE-2024-29850) et une seconde qui permet aux utilisateurs à privilèges élevés de voler le hachage NTLM du compte de service Veeam Backup Enterprise Manager s’il n’est pas configuré pour s’exécuter en tant que compte système local par défaut (CVE-2024-29851).

Failles Veeam ciblées dans les attaques de ransomware
En mars 2023, Veeam a corrigé une vulnérabilité de gravité élevée (CVE-2023-27532) dans le logiciel de sauvegarde et de réplication qui pourrait être exploitée pour violer les hôtes de l’infrastructure de sauvegarde.

Cette vulnérabilité a ensuite été exploitée dans des attaques attribuées au groupe de menaces FIN7 à motivation financière, liées à diverses opérations de ransomware telles que Conti, REvil, Maze, Egregor et BlackBasta.

Des mois plus tard, les affiliés de Cuba ransomware ont utilisé la même vulnérabilité dans des attaques ciblant des infrastructures critiques américaines et des sociétés informatiques latino-américaines en Amérique latine.

En novembre, la société a publié des correctifs pour résoudre deux autres failles critiques (avec des scores de base CVSS de 9,8 et 9,9 / 10) dans sa plate-forme de surveillance et d’analyse de l’infrastructure informatique. Ces failles permettent aux auteurs de menaces d’obtenir l’exécution de code à distance (CVE-2023-38547) et de voler des hachages NTLM (CVE-2023-38548) à partir de serveurs vulnérables.

Les produits Veeam sont utilisés par plus de 450 000 clients dans le monde, dont 74% des 2 000 entreprises mondiales.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *