Veeam a publié des mises à jour de sécurité pour plusieurs de ses produits dans le cadre d’un seul bulletin de sécurité de septembre 2024 qui corrige 18 failles de gravité élevée et critique dans Veeam Backup & Replication, la Console du fournisseur de services et une.

Le plus grave des problèmes résolus est CVE-2024-40711, une vulnérabilité critique (score CVSS v3.1: 9,8) d’exécution de code à distance (RCE) sur Veeam Backup & Replication (VBR) qui peut être exploitée sans authentification.

VBR est utilisé pour gérer et sécuriser l’infrastructure de sauvegarde des entreprises, il joue donc un rôle essentiel dans la protection des données. Comme il peut servir de point de pivot pour les mouvements latéraux, il est considéré comme une cible de grande valeur pour les opérateurs de ransomwares.

Les acteurs des ransomwares ciblent le service pour voler des sauvegardes à des fins de double extorsion et supprimer/chiffrer les jeux de sauvegarde, de sorte que les victimes se retrouvent sans options de récupération.

Dans le passé, le gang de ransomwares Cuba et FIN7, connus pour collaborer avec Conti, REvil, Maze, Egregor et BlackBasta, ont été observés ciblant les vulnérabilités VBR.

La faille, signalée via HackerOne, affecte Veeam Backup & Replication 12.1.2.172 et toutes les versions antérieures de la branche 12.

Bien que peu de détails aient été divulgués pour le moment, les failles critiques de RCE permettent généralement une reprise complète du système, de sorte que les utilisateurs ne doivent pas reporter l’installation des correctifs dans la version 12.2.0.334 de VBR.

Les autres failles répertoriées dans le bulletin sont liées aux versions de sauvegarde et de réplication 12.1.2.172 et antérieures sont:

  • CVE-2024-40710: Série de vulnérabilités permettant l’exécution de code à distance (RCE) et l’extraction de données sensibles (identifiants et mots de passe enregistrés) par un utilisateur à faible privilège. (Score CVSS: 8,8 « élevé »)
  • CVE-2024-40713: Les utilisateurs à faibles privilèges peuvent modifier les paramètres d’authentification multifacteur (MFA) et contourner l’authentification multifacteur. (Score CVSS: 8,8 « élevé »)
  • CVE-2024-40714: La validation de certificat TLS faible permet l’interception des informations d’identification lors des opérations de restauration sur le même réseau. (Score CVSS: 8,3 « élevé »)
  • CVE-2024-39718: Les utilisateurs à faibles privilèges peuvent supprimer à distance des fichiers avec des autorisations équivalentes au compte de service. (Score CVSS: 8,1 « élevé »)
  • CVE-2024-40712: Une vulnérabilité de traversée de chemin permet à un utilisateur local à faible privilège d’effectuer une élévation de privilèges locale (LPE). (Score CVSS: 7,8 « élevé »)

Des failles plus critiques dans les produits Veeam
Dans le même bulletin, Veeam répertorie quatre autres vulnérabilités de gravité critique affectant ses versions de console de fournisseur de services 8.1.0.21377 et antérieures et UNE version de produit 12.1.0.3208 et antérieures.

À partir de CVE-2024-42024 (score CVSS de 9,1), un attaquant disposant des informations d’identification d’UN compte de service d’agent peut exécuter du code à distance sur la machine hôte.

Veeam ONE est également impacté par CVE-2024-42019 (score CVSS 9.0), qui permet à un attaquant d’accéder au hachage NTLM du compte de service Reporter. L’exploitation de cette faille nécessite une collecte préalable de données via VBR.

Dans la console Veeam Service Provider, il y a CVE-2024-38650 (score CVSS de 9,9) qui permet à un attaquant à faible privilège d’accéder au hachage NTLM du compte de service sur le serveur VSPC.

Le deuxième problème critique est suivi sous la référence CVE-2024-39714 (score CVSS de 9,9) et permet à un utilisateur à faible privilège de télécharger des fichiers arbitraires sur le serveur, conduisant à l’exécution de code à distance.

Tous les problèmes ont été corrigés dans Veeam ONE version 12.2.0.4093 et Veeam Service Provider Console version 8.1.0.21377, vers lesquels les utilisateurs doivent passer dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *