Veeam a corrigé quatre vulnérabilités dans Backup Enterprise Manager, dont l’une peut permettre à des attaquants de contourner l’authentification et de se connecter à son interface web en tant que n’importe quel utilisateur.
Veeam Backup Enterprise Manager est une application utilisée pour gérer la solution Veeam Backup & Replication – une application de sauvegarde/restauration pour les machines virtuelles et physiques et les charges de travail basées sur le cloud – via une console web.
Les vulnérabilités affectent toutes les versions de Veeam Backup & Replication, mais elles n’ont été corrigées que dans Veeam Backup Enterprise Manager 12.1.2.172, qui est fourni avec Veeam Backup & Replication 12.1.2 – la seule version actuellement supportée de cette solution.
Veeam conseille aux clients qui ne peuvent pas mettre à jour Veeam Backup Enterprise Manager vers la version 12.1.2.172 d’arrêter le logiciel ou même de le désinstaller s’ils ne l’utilisent pas.
Aussi : « Veeam Backup Enterprise Manager est compatible avec la gestion de serveurs Veeam Backup & Replication utilisant une version plus ancienne que Veeam Backup Enterprise Manager. Par conséquent, si le logiciel Veeam Backup Enterprise Manager est installé sur un serveur dédié, Veeam Backup Enterprise Manager peut être mis à niveau vers la version 12.1.2.172 sans qu’il soit nécessaire de mettre à niveau Veeam Backup & Replication immédiatement. »
Bien qu’aucune des vulnérabilités corrigées ne soit mentionnée comme étant exploitée dans la nature, une vulnérabilité dans Veeam Backup & Replication a été exploitée par des attaquants motivés par des raisons financières l’année dernière.