Contexte & Gravité
Veeam a publié un correctif le 17 juin 2025 pour son logiciel Backup & Replication afin de corriger une faille critique de type Remote Code Execution (RCE) référencée CVE‑2025‑23121. Cette vulnérabilité est notée 9,9/10 sur l’échelle CVSS, ce qui la classe parmi les plus dangereuses reddit.com+7thehackernews.com+7theregister.com+7.
Qui est concerné ?
Toute installation Veeam Backup & Replication version 12 antérieure à 12.3.2 (build 12.3.2.3617) est vulnérable bleepingcomputer.com+4veeam.com+4thehackernews.com+4.
La faille ne peut être exploitée que sur des serveurs de sauvegarde rattachés à un domaine, même si l’utilisateur attaquant est un simple compte de domaine bleepingcomputer.com.
Enjeu & mode d’exploitation
La vulnérabilité permet à un utilisateur authentifié de lancer des commandes arbitraires sur le serveur.
Bien que Veeam déconseille fortement les installations en mode domaine, cette configuration reste fréquente dans de nombreuses infrastructures, amplifiant le risque reddit.comcybersecuritydive.com+7bleepingcomputer.com+7rapid7.com+7socradar.iorapid7.com.
Les chercheurs de CODE WHITE et watchTowr, déjà à l’origine de la découverte initiale, ont souligné que la correction basée sur une liste noire de gadgets ne suffisait pas — d’autres gadgets exploitables ont été découverts après le patch reddit.com+7theregister.com+7cybersecuritydive.com+7.
Autres vulnérabilités corrigées
Dans la même mise à jour, deux autres failles ont été comblées :
CVE‑2025‑24286 (score 7.2) : un compte “Backup Operator” peut modifier les tâches de sauvegarde, ouvrant la voie à une exécution de code arbitraire thehackernews.com+3veeam.com+3socradar.io+3.
CVE‑2025‑24287 (score 6.1) : dans Veeam Agent for Microsoft Windows, un utilisateur local peut modifier des répertoires système pour exécuter du code avec des privilèges élevés bleepingcomputer.com+8veeam.com+8socradar.io+8.
Retour d’expérience et recommandations
Rapid7 a rappelé que plus de 20 % des interventions en réponse à incident en 2024 concernaient des attaques ciblant les serveurs Veeam, souvent exploités dès qu’un acteur malveillant obtenait un accès initial à l’environnement socradar.io+3rapid7.com+3thehackernews.com+3.
Il est clairement recommandé de mettre à jour immédiatement : Veeam Backup & Replication vers 12.3.2.3617 et Veeam Agent for Windows vers 6.3.2.1205 theregister.com+5veeam.com+5socradar.io+5.
Feuille de route Veeam
Veeam prépare une version 13 (beta) qui supprimera l’utilisation de BinaryFormatter, principal vecteur de vulnérabilités de type désérialisation incontrôlée, pour éviter ce type de problème à l’avenir theregister.com.
Plan d’action à suivre
Patcher immédiatement vos serveurs Veeam :
Backup & Replication → 12.3.2 (build 12.3.2.3617)
Veeam Agent (Windows) → 6.3.2.1205
Ne jamais exposer les serveurs de sauvegarde au domaine principal ni à Internet public.
Segmenter les comptes AD : utiliser un domaine séparé ou configurer un environnement isolé.
Surveiller et auditer les logs sur tout comportement suspect autour de Veeam.
Préparer la migration vers Veeam 13 dès sa sortie.
En résumé
CVE‑2025‑23121 est une faille RCE critique (CVSS 9.9) affectant les serveurs Veeam en domaine.
Le correctif 12.3.2 est indispensable pour colmater cette menace, ainsi que les deux failles secondaires.
La stratégie de correction actuelle est un stop‑gap, et la suppression de BinaryFormatter dans V13 est cruciale à long terme.