Deux vulnérabilités critiques ont été découvertes dans les solutions de sauvegarde Veeam qui pourraient avoir exposé les utilisateurs à un risque d’attaque par ransomware.
Veeam Backup & Replication s’est avéré vulnérable à CVE-2022-26500 et CVE-2022-26501 par le chercheur de Positive Technologies Nikita Petrov, et bien que des détails spécifiques n’aient pas été divulgués, les failles sont censées permettre aux utilisateurs non authentifiés d’accéder aux fonctions API internes. .
« Un attaquant distant peut envoyer une entrée à l’API interne, ce qui peut conduire au téléchargement et à l’exécution de code malveillant », indique le rapport de Positive.
Ransomware et déni de service
Le chercheur a déclaré que les vulnérabilités pourraient être exploitées pour obtenir un accès initial et établir une persistance sur le terminal cible, installer des logiciels malveillants, voler des données ou exécuter directement des commandes qui extraient ou suppriment des données, montent des attaques par déni de service ou chiffrent l’infrastructure et lancer une attaque de rançongiciel.
Au total, trois versions de l’outil ont été affectées par la vulnérabilité : 9.5, 10 et 11. Des correctifs sont déjà disponibles pour les deux derniers, les utilisateurs étant invités à mettre à jour immédiatement. Ceux qui ne sont pas en mesure d’appliquer les correctifs pour le moment peuvent arrêter ou désactiver temporairement le service de distribution Veeam pour atténuer les risques potentiels.
Le même chercheur a découvert une vulnérabilité supplémentaire dans Veeam Agent pour Microsoft Windows, qui est un logiciel de sauvegarde de données pour le système d’exploitation Microsoft. Suivie sous le nom de CVE-2022-26503, la faille permet aux attaquants « d’exécuter du code arbitraire sur le nœud avec un maximum de droits (Local Privilege Escalation) pour accéder aux ressources du nœud compromis avec un maximum de privilèges ».
En d’autres termes, toutes les données stockées sur un terminal vulnérable peuvent être volées ou utilisées pour monter d’autres attaques. Les versions 2.0, 2.1, 2.2, 3.0.2, 4.0 et 5.0 du produit ont été affectées, a confirmé la société. Des correctifs pour les versions 4.0 et 5.0 ont été publiés.