Veeam - CVE-2023-27532

Date de publication :

Date de mise à jour :

Un défaut dans le processus Veeam.Backup.Service.exe de Veeam permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées vers le port de ce processus (9401 par défaut), d’obtenir les identifiants en clair.

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-287: Improper Authentication

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau.
•    Complexité de l'attaque : Faible.
•    Privilèges nécessaires pour réaliser l'attaque : Aucun.
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Systèmes ou composants affectés

Veeam Backup and Replication

Solutions ou recommandations

Appliquer les correctifs 11a (build 11.0.1.1261 P20230227) ou 12 (build 12.0.0.1420 P20230223).
Des informations complémentaires sont disponibles dans le bulletin de Veeam.