Veeam a prévenu de l’existence de deux vulnérabilités, dont l’une est une RCE critique, affectant sa plateforme de gestion basée sur le web pour les fournisseurs de services managés, Service Provider Console (VSPC). Mardi, le fournisseur de solutions de back-up as a service et de restauration, qui assure la disponibilité des systèmes informatiques pour des marques de premier plan telles que Cisco, Lenovo et la NASA, a publié un avis indiquant que l’exploitation des bogues n’est possible que dans certaines circonstances. Bien qu’une mise à jour contenant les correctifs nécessaires ait été fournie, aucune mesure d’atténuation n’est actuellement disponible pour les instances défectueuses. 

La première corrigée dans cette mise à jour, identifiée comme CVE-2024-42448, est critique et ouvre la voie à de l’exécution de code à distance (RCE) qui pourrait entraîner l’exécution du code arbitraire sur des machines serveurs VSPC non corrigées. « Depuis la machine de l’agent de gestion VSPC, à condition que l’agent de gestion soit autorisé sur le serveur, il est possible de réaliser une exécution de code à distance (RCE) sur la machine du serveur VSPC », a déclaré Veeam. La vulnérabilité, qui aurait été découverte lors des tests internes de Veeam, a reçu une note critique avec un score CVSS de 9.9/10. Une recherche rapide sur la populaire plateforme de recherche de fuites LeakIX, au moment de la publication de cet article, a révélé plus d’un million (1 186 722) d’instances VSPC potentiellement affectées sur Internet, dont environ la moitié rien qu’aux États-Unis et en Allemagne. La vulnérabilité affecte les versions 8.1.0.21377 et antérieures de VSPC (8 et & builds), et a été corrigée dans la mise à jour 8.1.0.21999. « Les versions de produits plus supportées ne sont pas testées, mais sont probablement affectées et doivent être considérées comme vulnérables », a écrit l’entreprise. 

Une seconde faille importante à patcher

En plus de ce trou de sécurité critique RCE, Veeam a aussi alerté de l’existence d’autre faille de sécurité importante, répertoriée en tant que CVE-2024-42449, donnant la possibilité à des attaquants d’effectuer une suppression non autorisée des fichiers du serveur VSPC. « Depuis la machine de l’agent de gestion VSPC, à condition que celui-ci soit autorisé sur le serveur, il est possible d’exfiltrer un hachage NTLM du compte de service du serveur VSPC et de supprimer des fichiers sur la machine du serveur VSPC », a déclaré Veeam. La faille, qui a reçu un score CVSS de 7.1/10, a été corrigée dans la même mise à jour et, comme le bogue RCE, n’affecterait pas d’autres produits Veeam tels que Backup and Replication (VBR), Agent for Microsoft Windows et ONE. Une autre faille RCE critique affectant VBR, répertoriée comme CVE-2024-40711, avait été divulguée plus tôt en septembre et a ensuite été signalée comme étant exploitée dans l’une des infections zero day des opérateurs de ransomware Akira (découvert en mars 2023) et Fog.