Veeam a publié des mises à jour de sécurité pour corriger une faille critique affectant la Service Provider Console (VSPC) qui pourrait ouvrir la voie à l’exécution de code à distance sur des instances sensibles.
La vulnérabilité, identifiée comme CVE-2024-42448, présente un score CVSS de 9,9 sur un maximum de 10,0. La société a noté que le bug avait été identifié lors de tests internes.
“Depuis la machine de l’agent de gestion VSPC, à condition que l’agent de gestion soit autorisé sur le serveur, il est possible d’effectuer une exécution de code à distance (RCE) sur la machine du serveur VSPC”, Veeam dit dans un avis.
Un autre défaut corrigé par Veeam concerne une vulnérabilité (CVE-2024-42449, score CVSS : 7,1) qui pourrait être utilisée de manière abusive pour divulguer un hachage NTLM du compte de service du serveur VSPC et supprimer des fichiers sur la machine du serveur VSPC.
Les deux vulnérabilités identifiées affectent Veeam Service Provider Console 8.1.0.21377 et toutes les versions antérieures des builds 7 et 8. Ils ont été corrigés dans la version 8.1.0.21999.
Veeam a en outre déclaré qu’il n’existait aucune mesure d’atténuation pour résoudre les problèmes et que la seule solution était de mettre à niveau vers la dernière version du logiciel.
Les failles des produits Veeam étant exploitées par des acteurs malveillants pour déployer des ransomwares, il est impératif que les utilisateurs prennent des mesures pour sécuriser leurs instances le plus rapidement possible.