Veeam le Leader mondial de la protection des données, a publié des correctifs pour deux vulnérabilités critiques qui affectent « Backup & Replication », une solution de sauvegarde dans les environnements virtuels.

Les deux failles de sécurité repérées sous les noms de CVE-2022-26500 et CVE-2022-26501 avec un score CVSS de 9.8, elles pourraient permettre l’exécution de code à distance sans authentification.

Un attaquant distant peut envoyer des entrées à l’API interne grâce à ces deux bogues identifiés dans le service de distribution Veeam, qui par défaut écoute le port TCP 9380. Cela lui permet de télécharger et d'exécuter du code malveillant sans autorisation.

Les versions affectées sont les 9.5, 10 et 11 de Veeam Backup & Replication, mais les correctifs ont été publiés pour les versions 10 et 11 uniquement. Ainsi, ceux qui utilisent encore la version 9.5 sont invités à migrer vers une version supportée.

Les mises à jour traitent également deux autres vulnérabilités de haute gravité dans Veeam Backup & Replication. La première identifiée sous le nom de CVE-2022-26504 qui affecte le composant utilisé pour l'intégration de Microsoft System Center Virtual Machine Manager (SCVMM), et pourrait conduire à l'exécution de code à distance.

La seconde, CVE-2022-26503, affecte Veeam Agent pour Microsoft Windows et pourrait être exploité pour élever les privilèges et exécuter du code arbitraire en tant que LOCAL SYSTEM.

La société explique que les mises à jour doivent être installées sur le serveur Veeam Backup & Replication et que les serveurs gérés avec Veeam Distribution Service recevront automatiquement le correctif.