Netcrook Logo
👤 SECPULSE
🗓️ 07 Jan 2026  

Trahison de la sauvegarde : comment les opérateurs de confiance de Veeam pourraient prendre le contrôle root

Sous-titre : Une série de failles négligées dans Veeam Backup & Replication v13 expose des infrastructures critiques à l’exécution de code à distance par des initiés.

C’est le scénario cauchemardesque pour tout administrateur de sauvegarde : les mêmes utilisateurs chargés de protéger les données pourraient au contraire détourner l’ensemble du système. C’est la réalité glaçante révélée dans la dernière alerte de sécurité de Veeam, dont le logiciel phare Backup & Replication abritait un ensemble de vulnérabilités - désormais corrigées - qui permettaient aux comptes “Backup Operator” ou “Tape Operator” de s’emparer du contrôle root. Alors que les organisations s’empressent de corriger et de revoir leurs processus internes, Netcrook enquête sur la façon dont une chaîne d’escalades de privilèges a failli transformer les gardiens de la sauvegarde en maîtres du système.

Au cœur de la chaîne d’exploitation

Les vulnérabilités, découvertes lors de revues de sécurité internes, dressent un tableau saisissant de l’escalade de privilèges. Dans des environnements sécurisés, des rôles comme “Backup Operator” ou “Tape Operator” sont censés limiter l’étendue d’une éventuelle brèche. Mais à cause d’un ensemble de négligences dans la gestion des permissions de Veeam, ces rôles sont devenus des tremplins potentiels vers une compromission totale du système.

Parmi les plus graves, CVE-2025-55125 permet à un opérateur de téléverser un fichier de configuration de sauvegarde malveillant, déclenchant une exécution de code à distance (RCE) en tant que root - le privilège le plus élevé sur un système Linux. Une autre, CVE-2025-59470, permet à un utilisateur de manipuler les paramètres d’intervalle pour exécuter du code en tant qu’utilisateur de la base de données postgres, menaçant l’intégrité des données à la racine. Pendant ce temps, CVE-2025-59469 ouvre la porte à des écritures de fichiers arbitraires en tant que root, une voie classique vers les portes dérobées et les malwares persistants.

Bien que la faille la plus critique soit notée 9,0 sur l’échelle CVSS, Veeam souligne que son exploitation nécessite déjà un compte opérateur compromis. Un maigre réconfort dans des environnements où la menace interne - ou le vol d’identifiants - est plausible. Même un seul opérateur négligent ou malveillant pourrait, en théorie, passer de la surveillance des sauvegardes à la domination du système.

La réponse de Veeam a été rapide : les administrateurs sont invités à mettre à jour vers la build 13.0.1.1071 et à récupérer le correctif directement depuis leur base de connaissances officielle. Mais la technologie seule ne suffit pas. Les équipes de sécurité sont instamment priées d’auditer les attributions de rôles opérateur, afin de s’assurer que seuls des membres réellement dignes de confiance conservent ces accès élevés. L’accès au moindre privilège, mantra de la sécurité souvent négligé, est désormais au premier plan.

Un signal d’alarme pour les défenseurs de l’infrastructure

Ce cas rappelle de façon brutale que toutes les menaces ne viennent pas de l’extérieur du pare-feu. Lorsque les outils mêmes censés protéger les données peuvent être détournés par des personnes internes, seules une correction vigilante, une gestion rigoureuse des privilèges et une méfiance envers chaque rôle utilisateur peuvent garantir la sécurité des infrastructures critiques. Les vulnérabilités de Veeam sont peut-être corrigées, mais le défi du risque interne est loin d’être résolu.

WIKICROOK

  • Exécution de code à distance (RCE) : L’exécution de code à distance (RCE) se produit lorsqu’un attaquant exécute son propre code sur le système d’une victime, menant souvent à un contrôle total ou à la compromission du système.
  • Privilèges root : Les privilèges root sont les droits d’accès les plus élevés sur un système, permettant un contrôle total sur toutes les fonctions, paramètres et données. Réservés aux utilisateurs de confiance.
  • Score CVSS : Un score CVSS évalue la gravité des vulnérabilités de sécurité de 0 à 10, les chiffres les plus élevés indiquant un risque et une urgence de réponse accrus.
  • Escalade de privilèges : L’escalade de privilèges se produit lorsqu’un attaquant obtient des accès de niveau supérieur, passant d’un compte utilisateur standard à des privilèges administrateur sur un système ou un réseau.
  • Moindre privilège : Le principe du moindre privilège consiste à accorder aux utilisateurs ou aux systèmes uniquement l’accès minimum nécessaire, réduisant ainsi les risques de sécurité et les actions non autorisées.
Veeam vulnerabilities insider threats privilege escalation
SECPULSE SECPULSE
SOC Detection Lead
← Back to news