Un groupe de pirates a découvert une vulnérabilité dans le logiciel de sauvegarde de Veeam, qui date d’il y a un an. Les entreprises qui n’ont pas appliqué le correctif doivent maintenant se soucier de leurs sauvegardes.
Un gang de pirates opérant sous le nom de EstateRansomware cible les utilisateurs de Veeam Backup & Replication. Les sauvegardes des victimes sont chiffrées pour imposer le paiement d’une rançon. Group IB, une société de sécurité basée à Singapour, révèle le mode opératoire du groupe dans un blog.
Les attaquants utilisent un « compte dormant » pour s’introduire via VPN et se connecter à un serveur dans l’environnement Veeam de la victime. La porte dérobée du logiciel Veeam leur donne alors accès à tous les serveurs de sauvegarde et ils peuvent en extraire des données.
Une entreprise avertie en vaut deux
Les victimes d’EstateRansomware doivent faire leur examen de conscience. La vulnérabilité, connue sous le nom de CVE-2023-27532, n’est pas un problème inconnu, surtout pour Veaam. Le spécialiste de la sauvegarde a rappelé à The Register qu’un correctif est disponible depuis mars 2023. Toutes les versions de Backup & Replication à partir de 11a comblent la vulnérabilité. La vulnérabilité était déjà activement exploitée au moment où le correctif a été déployé.
Une entreprise avertie en vaut deux, mais il n’est pire sourd que celui qui ne veut pas entendre. Voilà la raison pour laquelle il faut toujours appliquer les correctifs le plus rapidement possible. Des serveurs temporairement inaccessibles ne sont qu’un inconvénient minime par rapport aux dommages que peuvent causer des sauvegardes dérobées. On ne sait pas combien de serveurs Veeam sont encore vulnérables et où ils se trouvent.
Il existe encore d’autres vulnérabilités récentes et inquiétantes dans le logiciel de sauvegarde de Veeam. En mai, Veeam a signalé une vulnérabilité dans Backup Enterprise Manager, bien qu’elle ne menace pas les sauvegardes.