Veeam corrige une faille de sécurité critique dans Service Provider Console
Il y a quelques heures, Veeam a publié de nouvelles mises à jour de sécurité pour son produit Service Provider Console (VSPC) dans le but de corriger 2 failles de sécurité, dont une permettant une exécution de code à distance. Faisons le point.
Veeam Service Provider Console (VSPC) est présenté par l'entreprise américaine comme une solution de Backend-as-a-Service et de reprise après sinistre en tant que service (Disaster-Recovery-as-a-Service). Elle est utilisée par les fournisseurs de service pour surveiller la sécurité et l'état de santé des sauvegardes de leurs clients, que ce soit pour les sauvegardes de serveurs virtuels, de tenants Microsoft 365 ou de ressources Cloud.
Commençons par évoquer les deux failles de sécurité :
- CVE-2024-42448
Cette vulnérabilité critique, associée à un score CVSS de 9.9 sur 10, permet à un attaquant d'exécuter du code arbitraire à distance sur le serveur vulnérable, à partir de l'agent de management VSPC.
- CVE-2024-42449
Cette faille de sécurité importante, associée à un score CVSS de 7.1 sur 10, peut être exploitée par les attaquants pour voler le hash NTLM du compte de service du serveur VSPC. Ensuite, cette information sensible peut être utilisée pour supprimer des fichiers sur le serveur VSPC.
Dans le bulletin de sécurité, il est précisé que ces deux vulnérabilités ont été découvertes par les équipes de Veeam, lors d'un audit de sécurité interne. De plus, il est important de préciser que ces vulnérabilités peuvent être exploitées à condition que l'agent de gestion soit autorisé sur le serveur VSPC.
Comment se protéger ?
Ces vulnérabilités affectent VPSC 8.1.0.21377 et toutes les versions antérieures, y compris les versions 8 et 7. Veeam explique que les versions qui ne sont plus prises en charge "devraient être considérées comme vulnérables", même si l'éditeur lui-même n'a pas vérifié. Dans tous les cas, il n'y a pas de correctif pour ces versions obsolètes.
Les sociétés de service utilisatrices de la solution Veeam Service Provider Console (versions 7 et 8) sont invitées à installer la dernière mise à jour de sécurité publiée par Veeam. Pour la version 8, il s'agit de la version 8.1.0.21999.
Espérons que ces vulnérabilités ne feront pas l'objet d'une exploitation active dans les prochains semaines, comme ce fut le cas dernièrement avec la CVE-2024-40711.