Veeam Backup & Replication : 2 failles critiques exploitées au sein de cyberattaques !
La CISA a mis à jour son catalogue des vulnérabilités connues et exploitées dans le but d'ajouter deux failles de sécurité de Veeam Backup & Replication, la célèbre solution de sauvegarde. Faisons le point.
Considérées comme étant critiques (score CVSS v3 de 9,8 sur 10), ces deux failles de sécurité associées aux références CVE-2022-26500 et CVE-2022-26501, permettent à un attaquant non authentifié d'exécuter du code à distance dans le but de prendre le contrôle de la machine distante où est installée cette application. C'est le composant Veeam Distribution Service qui pose problème et qui donne accès à l'attaquant à des fonctions au travers d'une API.
Ces vulnérabilités ne sont pas nouvelles puisqu'elles ont reçu un correctif de la part de Veeam en mars dernier, après avoir été découvertes par les chercheurs en sécurité de chez Positive Technologies. C'est une bonne nouvelle, d'autant plus que Veeam a corrigé en même temps deux autres vulnérabilités : CVE-2022-26503 et CVE-2022-26504.
La CISA n'a pas donné de détails sur les techniques employées lors des attaques visant ces vulnérabilités. Toutefois, la menace est bien réelle puisque l'entreprise CloudSEK avait déjà reporté des attaques à ce sujet en octobre dernier. Un malware nommé "Veeamp" est évoqué ainsi qu'un dépôt GitHub contenant des scripts permettant de récupérer les mots de passe du gestionnaire d'identifiants de Veeam Backup & Replication.
Quelles sont les versions de Veeam Backup & Replication affectées par ces vulnérabilités ?
Les versions 10 et 11 du produit sont impactées et ces failles ont été corrigées dans les versions 10a et 11a de Veeam Backup & Replication. Par ailleurs, les utilisateurs de la version 9.5 sont aussi concernés et il est conseillé de passer sur une version supportée, car celle-ci ne reçoit plus de mises à jour.
En complément des deux vulnérabilités de Veeam Backup & Replication, la CISA a aussi ajouté des failles Fortinet, Microsoft et Citrix.