Veeam a publié aujourd’hui des mises à jour de sécurité pour corriger deux vulnérabilités de la Console du fournisseur de services (VSPC), y compris une exécution de code à distance critique (RCE) découverte lors de tests internes.
VSPC, décrit par l’entreprise comme une plate-forme BAAS (Backend as a Service) et DRaaS (Disaster Recovery as a Service) gérée à distance, est utilisée par les fournisseurs de services pour surveiller la santé et la sécurité des sauvegardes des clients, ainsi que pour gérer leurs charges de travail virtuelles protégées par Veeam, Microsoft 365 et le cloud public.
La première faille de sécurité corrigée aujourd’hui (suivie sous la référence CVE-2024-42448 et évaluée avec un score de gravité de 9,9/10) permet aux attaquants d’exécuter du code arbitraire sur des serveurs non corrigés à partir de la machine de l’agent de gestion VSPC.
Veeam a également corrigé une vulnérabilité de gravité élevée (CVE-2024-42449) qui peut permettre à des attaquants de voler le hachage NTLM du compte de service du serveur VSPC et d’utiliser l’accès obtenu pour supprimer des fichiers sur le serveur VSPC.
Cependant, comme l’entreprise l’a expliqué dans un avis de sécurité publié aujourd’hui, ces deux vulnérabilités ne peuvent être exploitées avec succès que si l’agent de gestion est autorisé sur le serveur ciblé.
Les failles affectent VPSC 8.1.0.21377 et toutes les versions antérieures, y compris les versions 8 et 7, mais les versions de produits non prises en charge sont également probablement affectées et « devraient être considérées comme vulnérables », même si elles n’ont pas été testées.
« Nous encourageons les fournisseurs de services utilisant les versions prises en charge de la Veeam Service Provider Console (versions 7 et 8) à effectuer la mise à jour vers le dernier correctif cumulatif », a déclaré Veeam.
« Les fournisseurs de services utilisant des versions non prises en charge sont fortement encouragés à passer à la dernière version de Veeam Service Provider Console. »
Une récente exploitation sauvage ciblant les vulnérabilités de Veeam a montré qu’il est crucial de corriger les serveurs vulnérables dès que possible pour bloquer les attaques potentielles.
Comme les intervenants en cas d’incident Sophos X-Ops l’ont révélé le mois dernier, une faille RCE (CVE-2024-40711) dans le logiciel de sauvegarde et de réplication (VBR) de Veeam divulguée en septembre est désormais exploitée pour déployer le ransomware Frag.
La même vulnérabilité est également utilisée pour obtenir l’exécution de code à distance sur des serveurs VBR vulnérables dans les attaques de ransomware Akira et Fog.
Veeam affirme que ses produits sont utilisés par plus de 550 000 clients dans le monde, dont 74% des 2 000 entreprises mondiales et 82% des Fortune 500.