Deux vulnérabilités identifiées

Le 27 mai 2026, l'éditeur Veeam a publié un bulletin de sécurité (kb4852) concernant son logiciel de sauvegarde et de réplication, Veeam Backup & Replication. Deux vulnérabilités, référencées CVE-2026-32996 et CVE-2026-32997, ont été découvertes dans ce produit. Selon l'avis du CERT-FR, ces failles permettent à un attaquant de provoquer une élévation de privilèges et une atteinte à l'intégrité des données.

Versions concernées et correctif

Toutes les versions du logiciel antérieures à la version 13.0.2.29 sont affectées. Veeam recommande aux utilisateurs d'appliquer la mise à jour vers cette version, qui contient les correctifs nécessaires. Aucune solution de contournement n'a été mentionnée dans les sources disponibles.

Recommandations du CERT-FR

L'équipe gouvernementale de réponse aux incidents informatiques (CERT-FR) invite les administrateurs systèmes et les responsables de la sécurité des systèmes d'information à se référer sans délai au bulletin de sécurité de l'éditeur pour obtenir les correctifs. Les organisations utilisant Veeam Backup & Replication sont appelées à vérifier la version de leur déploiement et à planifier une mise à jour dès que possible.

Impact potentiel

Une exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant d'obtenir des droits plus élevés sur le système, compromettant ainsi la sécurité du logiciel de sauvegarde. L'atteinte à l'intégrité des données, quant à elle, pourrait conduire à la modification ou à la corruption des sauvegardes, ce qui représente un risque majeur pour la continuité d'activité des entreprises et des administrations.

Contexte de sécurisation

Les solutions de sauvegarde constituent une cible privilégiée pour les cyberattaques, car elles contiennent des données critiques. La compromission de ces outils peut non seulement permettre un accès aux données sauvegardées, mais aussi neutraliser un maillon essentiel de la reprise après incident. Les vulnérabilités de type élévation de privilèges sont particulièrement dangereuses dans ce contexte, car elles permettent à un attaquant déjà présent sur le réseau de prendre le contrôle d'un service sensible.

Recommandations générales

Le CERT-FR rappelle les bonnes pratiques de sécurité : maintenir les logiciels à jour, segmenter les réseaux, limiter les privilèges des comptes de service et surveiller les journaux d'événements pour détecter des tentatives d'exploitation. Les organisations qui ne peuvent pas appliquer immédiatement le correctif doivent renforcer la surveillance du service concerné et restreindre l'accès réseau aux interfaces d'administration.

Procédure de mise à jour

Veeam Backup & Replication version 13.0.2.29 est disponible sur le site de l'éditeur. Les utilisateurs doivent suivre la procédure standard de mise à jour, après avoir pris soin de sauvegarder la configuration existante et de vérifier la compatibilité avec leur environnement. Un redémarrage du service peut être nécessaire après l'installation du correctif.

Références

Bulletin de sécurité Veeam kb4852 du 27 mai 2026 : https://www.veeam.com/kb4852 Références CVE : CVE-2026-32996, CVE-2026-32997