04/12/2024

Actu Cybersécurité

Veeam corrige une faille de sécurité critique dans Service Provider Console

Il y a quelques heures, Veeam a publié de nouvelles mises à jour de sécurité pour son produit Service Provider Console (VSPC) dans le but de corriger 2 failles de sécurité, dont une permettant une exécution de code à distance. Faisons le point.

Veeam Service Provider Console (VSPC) est présenté par l'entreprise américaine comme une solution de Backend-as-a-Service et de reprise après sinistre en tant que service (Disaster-Recovery-as-a-Service). Elle est utilisée par les fournisseurs de service pour surveiller la sécurité et l'état de santé des sauvegardes de leurs clients, que ce soit pour les sauvegardes de serveurs virtuels, de tenants Microsoft 365 ou de ressources Cloud.

Commençons par évoquer les deux failles de sécurité :

  • CVE-2024-42448

Cette vulnérabilité critique, associée à un score CVSS de 9.9 sur 10, permet à un attaquant d'exécuter du code arbitraire à distance sur le serveur vulnérable, à partir de l'agent de management VSPC.

  • CVE-2024-42449

Cette faille de sécurité importante, associée à un score CVSS de 7.1 sur 10, peut être exploitée par les attaquants pour voler le hash NTLM du compte de service du serveur VSPC. Ensuite, cette information sensible peut être utilisée pour supprimer des fichiers sur le serveur VSPC.

Dans le bulletin de sécurité, il est précisé que ces deux vulnérabilités ont été découvertes par les équipes de Veeam, lors d'un audit de sécurité interne. De plus, il est important de préciser que ces vulnérabilités peuvent être exploitées à condition que l'agent de gestion soit autorisé sur le serveur VSPC.

Comment se protéger ?

Ces vulnérabilités affectent VPSC 8.1.0.21377 et toutes les versions antérieures, y compris les versions 8 et 7. Veeam explique que les versions qui ne sont plus prises en charge "devraient être considérées comme vulnérables", même si l'éditeur lui-même n'a pas vérifié. Dans tous les cas, il n'y a pas de correctif pour ces versions obsolètes.

Les sociétés de service utilisatrices de la solution Veeam Service Provider Console (versions 7 et 8) sont invitées à installer la dernière mise à jour de sécurité publiée par Veeam. Pour la version 8, il s'agit de la version 8.1.0.21999.

Espérons que ces vulnérabilités ne feront pas l'objet d'une exploitation active dans les prochains semaines, comme ce fut le cas dernièrement avec la CVE-2024-40711.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.