### Découverte d'une faille RCE critique dans Veeam Backup & Replication **Veeam** a déployé des mises à jour de sécurité pour atténuer une faille de sécurité grave dans son produit **Backup & Replication (VBR)**. La vulnérabilité, identifiée sous le nom **CVE-2026-44963**, a été signalée par le chercheur en sécurité **Sina Kheirkhah** de **WatchTowr** et pourrait permettre l'exécution de code à distance sur des serveurs de sauvegarde joints à un domaine. La faille affecte les versions 12.3.2.4465 de **Veeam Backup & Replication (VBR)** et toutes les versions antérieures de la branche 12. Le problème critique a été résolu dans la version 12.3.2.4854. Selon l'avis de **Veeam**, la vulnérabilité permet "l'exécution de code à distance (RCE) sur le serveur de sauvegarde par un utilisateur authentifié du domaine". Il est important de noter que les versions 13.x de **Veeam Backup & Replication** ne sont pas affectées en raison de changements architecturaux significatifs. ### Meilleures pratiques ignorées : le risque des serveurs joints à un domaine Bien que la vulnérabilité puisse être exploitée par n'importe quel utilisateur du domaine disposant de privilèges faibles, elle affecte spécifiquement les installations de **Veeam Backup & Replication** qui sont jointes à un domaine. Cette exigence met en évidence un écart courant par rapport aux meilleures pratiques de longue date de **Veeam**, qui déconseillent de joindre les serveurs de sauvegarde à un domaine Windows afin de minimiser la surface d'attaque. Malheureusement, de nombreuses organisations ont négligé cette recommandation critique, exposant ainsi involontairement leur infrastructure de sauvegarde à ce type de menace. Cet oubli offre une voie claire aux attaquants pour potentiellement prendre le contrôle des systèmes de récupération de données cruciaux. ### Corrigez maintenant : la course contre les attaquants Bien qu'il n'y ait actuellement aucun rapport d'exploitation active, **Veeam** a émis un avertissement fort selon lequel les attaquants commenceront probablement à effectuer de l'ingénierie inverse sur les correctifs dès leur divulgation. Cette pratique permet aux acteurs malveillants de développer rapidement des exploits pour les systèmes non corrigés. "Cette réalité souligne l'importance capitale de s'assurer que tous les clients utilisent les dernières versions de nos logiciels et installent toutes les mises à jour et tous les correctifs sans délai", a souligné **Veeam**. La fenêtre entre la publication du correctif et le développement de l'exploit est souvent étroite, rendant l'action rapide essentielle pour protéger les environnements de sauvegarde sensibles. ### Les serveurs Veeam : une cible de choix pour les ransomwares Les produits **Veeam** sont largement utilisés, avec plus de 550 000 clients dans le monde, y compris une part importante des entreprises du Fortune 500 et du Global 2000. Cette adoption généralisée, associée au rôle critique des serveurs de sauvegarde, en fait une cible attrayante pour les gangs de ransomware. Les opérateurs de ransomware ciblent fréquemment les serveurs de sauvegarde pour voler des données sensibles, faciliter le mouvement latéral au sein des réseaux compromis et saboter les efforts de récupération en supprimant ou en chiffrant les sauvegardes. La **Cybersecurity and Infrastructure Security Agency (CISA)** a précédemment signalé quatre failles de **Veeam Backup & Replication** comme étant activement exploitées dans des attaques, toutes ayant été utilisées par des groupes de ransomware. Par exemple, en novembre 2024, des opérations de ransomware telles que **Akira**, **Fog** et **Frag** auraient utilisé une autre faille RCE critique de **VBR**, **CVE-2024-40711**. Des groupes de menaces notoires comme **FIN7** et le gang de ransomware **Cuba** ont également été liés à des attaques exploitant des vulnérabilités de sécurité de **VBR**. Compte tenu de cet historique, la nouvelle faille **CVE-2026-44963** présente un risque important que les organisations doivent traiter sans délai.