Veeam Backup & Replication : cette faille critique menace les serveurs intégrés à l’Active Directory !
Vous utilisez Veeam Backup & Replication et votre serveur est intégré à votre domaine Active Directory ? Alors vous devriez lire cette alerte de sécurité avec attention...
L'éditeur Veeam a publié un correctif pour une faille de sécurité critique affectant sa célèbre solution Veeam Backup & Replication. Associée à la référence CVE-2025-23120 et à un score CVSS v3.1 de 9.9 sur 10, cette faille permet une exécution de code à distance (RCE).
"Une vulnérabilité permettant l'exécution de code à distance (RCE) par des utilisateurs du domaine authentifiés.", peut-on lire sur le site de Veeam.
L'essentiel à savoir sur la CVE-2025-23120
Découverte par watchTowr Labs, cette vulnérabilité repose sur un problème de désérialisation dans les classes .NET Veeam.Backup.EsxManager.xmlFrameworkDs et Veeam.Backup.Core.BackupSummary. En règle générale, ce type de faille permet à un attaquant d'injecter des objets malveillants et d'exécuter du code arbitraire sur le système cible.
Dans le cas présent, la vulnérabilité peut être exploitée facilement pour exécuter du code à distance et compromettre le serveur Veeam. En effet, l'attaquant doit seulement disposer d'un compte utilisateur standard, présent dans l'annuaire Active Directory. Dans de nombreux cas, le serveur Veeam est intégré à un domaine Active Directory, et ce dernier est commun avec celui des utilisateurs.
Dans sa documentation, Veeam recommande l'utilisation d'une forêt Active Directory distincte (ou au pire de laisser le serveur en Workgroup) : "Pour un déploiement plus sûr, ajoutez les composants Veeam à un domaine de gestion qui réside dans une forêt Active Directory séparée et protégez les comptes administratifs avec des mécanismes d'authentification à deux facteurs."
Cette vulnérabilité a été signalée à Veeam par les chercheurs de watchTowr Labs le 5 février dernier. Depuis le 19 mars 2025, un correctif de sécurité a été publié par Veeam. Il correspond à la version suivante : version 12.3.1 (build 12.3.1.1139). La version affectée est Veeam Backup & Replication 12.3.0.310 ainsi que toutes les versions antérieures 12.X.
"Si vous n'avez pas patché votre serveur Veeam et qu'il est connecté à votre domaine AD, vous devriez probablement prendre ceci au sérieux.", peut-on lire dans le rapport de watchTowr Labs. L'installation du correctif est plus que recommandée.
Un danger accru face aux attaques de ransomware
Les groupes de ransomware considèrent déjà Veeam Backup & Replication comme une cible privilégiée. Ce n'est pas étonnant puisque cette solution est liée à un composant critique du système d'information : les sauvegardes. Par exemple, la faille CVE-2024-40711 a largement été exploitée par les gangs de ransomware Akira et Fog.
"Il nous est difficile d'être positifs à ce sujet, étant donné la criticité de la solution, combinée au fait que cette solution est bien connue et qu'elle est la cible de gangs de ransomwares.", peut-on lire.
À ce jour, aucune exploitation de la faille CVE-2025-23120 n'a encore été signalée, mais la situation peut évoluer à tout moment.
