Veeam, l'une des sociétés les plus connues dans la protection des données et la récupération, a publié des correctifs pour corriger plusieurs vulnérabilités critiques dans sa solution Veeam Backup & Replication (VBR). Ces défaillances comprennent quatre vulnérabilités d'exécution de code à distance (URCE) qui, dans des conditions spécifiques, permettent aux utilisateurs ayant des privilèges réduits d'exécuter du code sur des serveurs de sauvegarde, transformant un outil conçu pour protéger les données en un vecteur d'attaque dangereux s'il n'est pas mis à jour rapidement.
Veeam Backup & Replication est un élément central de nombreuses infrastructures commerciales: sert à créer et maintenir des sauvegardes qui permettent de restaurer les systèmes après des défaillances matérielles ou des incidents de sécurité. Précisément en raison de cette position privilégiée dans les réseaux - et en raison de la grande quantité de données critiques qu'il gère - toute vulnérabilité en VBR peut avoir des conséquences très graves. Veeam publie les corrections et les notes techniques dans ses bases de connaissances; dans ce cas, les solutions sont incluses dans les versions 12.3.2.4465 et 130.1.2067.
Sur les quatre URCE identifiées, trois permettent aux utilisateurs de domaine ayant une autorisation réduite de lancer du code à distance sur des serveurs de sauvegarde avec un faible niveau de complexité. Ces trois CVE-2026-21666, CVE-2026-21667 et CVE-2026-21669. Quatrième CVE-2026-21708 est particulièrement inquiétant car il permet à un profil moins privilégié appelé Backup Viewer d'augmenter et d'exécuter le code en tant qu'utilisateur de la base de données post-gres sur le serveur VBR.
En plus des URCE, Veeam a corrigé plusieurs défaillances de haute gravité qui peuvent être utilisées pour étalonner les privilèges sur les serveurs Windows exécutant VBR, extraire les identifiants SSH enregistrés ou éviter les restrictions pour manipuler des fichiers dans les dépôts de copie. Selon l'entreprise, ces vulnérabilités ont été détectées à la fois dans les tests internes et dans les rapports soumis sur la plateforme HackerOne, et sont déjà résolues dans les versions indiquées.
La recommandation de Veeam ne laisse aucun doute : mettre à jour dès que possible. L'entreprise elle-même souligne qu'une fois qu'un patch et sa vulnérabilité sont rendus publics, il est courant pour les acteurs malveillants d'essayer d'investir l'ingénierie sur le patch pour développer des exploits contre des installations non mises à jour. Veeam expose cet avertissement dans ses notes techniques, invitant tous les clients à installer les mises à jour sans délai ( plus d'informations dans votre avis).
L'urgence n'est pas seulement théorique. Au cours des dernières années, les serveurs de sauvegarde, et VBR en particulier, ont été la cible récurrente de groupes Ransomware et de bandes cybercriminels parce que compromettre la sauvegarde facilite l'imposition de sauvegardes : effacer ou chiffrer les sauvegardes empêche la récupération et augmente la pression pour payer. Des groupes ayant déjà été victimes d'attaques ciblées ont profité de ce type de vecteur; par exemple, ils ont été liés à des incidents du passé tels que la FIN7 et la bande cubaine, et il a été documenté comment les variantes de Ransomware ont exploité les échecs de VBR dans les récentes campagnes pour se déplacer latéralement, voler des données et entraver les restaurations.
La menace est aggravée par le fait que de nombreux fournisseurs de services gérés et moyennes ou grandes entreprises dépendent de Veeam : selon les données de l'entreprise, les solutions de l'entreprise ont une large présence sur le marché et sont utilisées par des centaines de milliers de clients dans le monde entier. Cette densité de déploiements fait de tout échec en VBR une opportunité intéressante pour ceux qui cherchent à maximiser l'impact d'une attaque.
Pour les gestionnaires et les responsables de la sécurité, la logique est claire : appliquer les mises à jour officielles de Veeam dès que possible et ne pas les retarder. En outre, il convient d'examiner les paramètres d'accès, les dossiers d'audit pour les activités inhabituelles, de faire pivoter les pouvoirs stockés et de limiter l'accès administratif aux serveurs de copie. Il est également prudent d'envisager d'autres mesures comme la segmentation du réseau pour isoler les serveurs de sauvegarde d'autres zones critiques, ainsi que des contrôles d'intégrité et de surveillance qui détectent les changements non autorisés dans les fichiers et les services.
La fenêtre d'exposition après la publication d'un patch est généralement courte parce que la connaissance de l'échec et le code patch permettent aux attaquants suffisamment capables de créer des exploits en peu de temps. Par conséquent, au-delà de la nature technique des corrections, l'élément décisif est la rapidité avec laquelle les organisations planifient et mettent en œuvre ces mises à jour dans leur environnement.
Si vous avez besoin de consulter des détails techniques spécifiques des vulnérabilités ou de vérifier la version installée, les avis officiels Veeam et les entrées NVD fournissent des descriptions techniques et des références utiles: Les URCE sont enregistrées dans le NVD CVE-2026-21666, CVE-2026-21667, CVE-2026-21669 et CVE-2026-21708 tandis que les corrections et recommandations en matière d'atténuation sont publiées dans les notes de l'entreprise: 12.3.2.4465 et 130.1.2067.
Dans le monde de la cybersécurité, les outils qui nous protègent doivent également être soigneusement maintenus. Il ne s'agit pas seulement d'appliquer des correctifs de protocole, mais de comprendre que les serveurs de sauvegarde sont des cibles de grande valeur : les laisser sans mise à jour, c'est juste laisser une porte arrière ouverte dans la maison où nous conservons nos copies les plus précieuses. La mise à jour, la vérification et le segmentage sont des étapes qui doivent maintenant être au cœur des priorités opérationnelles.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...