CVE-2026-44963, CVSS 9.4 : n'importe quel utilisateur authentifié de domaine Active Directory peut exécuter du code à distance sur les serveurs Veeam Backup & Replication 12.x — compromettant la dernière ligne de défense contre les ransomwares. Patch urgent vers la version 12.3.2.4854.
En bref
- CVE-2026-44963 : exécution de code à distance (RCE) dans Veeam Backup & Replication — CVSS 9.4 (Critique), découverte par le chercheur Sina Kheirkhah de watchTowr Labs
- Veeam Backup & Replication versions 12.x jusqu'à 12.3.2.4465 inclus affectées ; tout utilisateur de domaine Active Directory peut exploiter cette faille pour exécuter des commandes arbitraires sur le serveur de sauvegarde
- Action urgente : mettre à jour vers Veeam Backup & Replication 12.3.2.4854 — les sauvegardes compromises neutralisent toute capacité de récupération après ransomware
Les faits
La vulnérabilité CVE-2026-44963 affecte Veeam Backup & Replication, l'un des logiciels de sauvegarde et restauration d'entreprise les plus déployés au monde. Avec un score CVSS v3.1 de 9.4 (Critique), cette faille permet à tout utilisateur authentifié d'un domaine Active Directory — sans aucun privilège particulier sur le serveur Veeam lui-même — d'exécuter du code arbitraire à distance sur le serveur de sauvegarde. La faille a été découverte et responsablement divulguée par le chercheur en sécurité Sina Kheirkhah de watchTowr Labs, dont les travaux ont conduit Veeam à publier un correctif d'urgence. BleepingComputer, The Hacker News et CSO Online ont couvert la divulgation, soulignant le caractère particulièrement dangereux de cette vulnérabilité dans un contexte où les opérateurs de ransomware ciblent systématiquement les infrastructures de sauvegarde.
Pour comprendre la gravité de CVE-2026-44963, il faut contextualiser la place de Veeam dans les architectures de sécurité d'entreprise. Veeam Backup & Replication est typiquement déployé comme dernier rempart contre les ransomwares : lorsqu'un incident de chiffrement survient, c'est vers cette solution que les équipes IT se tournent pour restaurer les systèmes compromis. Cibler et compromettre le serveur Veeam revient donc à éliminer la capacité de récupération de la victime, maximisant ainsi la pression pour payer la rançon. C'est précisément pour cette raison que les groupes ransomware — notamment LockBit, BlackCat/ALPHV, Black Basta et Cl0p — ont fait des serveurs Veeam une cible prioritaire dans leurs playbooks d'attaque depuis plusieurs années.
Techniquement, la vulnérabilité réside dans un composant de l'API interne de Veeam Backup & Replication accessible par un utilisateur de domaine Windows disposant d'un accès réseau au serveur. Les analyses publiées par watchTowr Labs, CSO Online et eBuildersecurity indiquent qu'il s'agit d'une vulnérabilité dans le mécanisme de traitement des requêtes RPC (Remote Procedure Call), permettant l'injection et l'exécution de commandes arbitraires avec les privilèges du service Veeam. Ce service s'exécute typiquement avec des privilèges SYSTEM ou sous un compte de service à hauts privilèges, ce qui signifie que l'exploitation débouche directement sur une compromission totale du serveur de sauvegarde.
Le vecteur d'attaque est réseau, et la condition préalable est d'être un utilisateur authentifié de domaine Active Directory — ce qui inclut pratiquement tous les employés d'une entreprise utilisant Windows AD. Aucun privilège administrateur local ou de domaine n'est requis sur le serveur Veeam lui-même. Cette configuration élargit considérablement la surface d'attaque : un employé malveillant, un compte compromis par phishing, ou un attaquant ayant déjà pivoté dans le réseau d'entreprise (mouvement latéral post-compromission initiale) peut exploiter cette faille pour obtenir l'exécution de code sur le serveur de sauvegarde, puis progresser vers une compromission complète de l'infrastructure.
Les versions affectées sont toutes les versions 12.x de Veeam Backup & Replication jusqu'à la build 12.3.2.4465 incluse. Une nuance importante soulignée par Veeam dans son advisory (Veeam Security Advisory KB4679) : les versions 13.x de Veeam Backup & Replication ne sont pas affectées, car des changements architecturaux profonds introduits dans la branche 13 ont éliminé la classe de vulnérabilité en question. Cela signifie que les organisations ayant migré vers la version 13.x sont protégées, tandis que celles maintenues sur la branche 12.x restent exposées tant que le patch 12.3.2.4854 n'est pas appliqué.
La correction a été publiée dans la build 12.3.2.4854. Veeam a qualifié cette mise à jour de correctif de sécurité prioritaire et a fortement recommandé son application immédiate. La mise à jour nécessite généralement une fenêtre de maintenance planifiée, car le service doit être arrêté pendant l'installation ; cependant, la criticité de CVE-2026-44963 justifie d'accepter une interruption temporaire des sauvegardes pour appliquer le patch dans les meilleurs délais. Selon l'analyse publiée par Penligent AI, le temps moyen d'exploitation d'une telle vulnérabilité par des groupes ransomware avancés, une fois le PoC disponible, est inférieur à 72 heures.
Il n'existe pas de contournement officiel pour CVE-2026-44963 autre que l'application du correctif. Veeam déconseille explicitement toute exposition directe du serveur de sauvegarde à des réseaux non fiables. La segmentation réseau — isoler le serveur Veeam dans un VLAN dédié avec des règles de pare-feu strictes limitant les accès aux seuls utilisateurs et systèmes légitimes — constitue une mesure de réduction du risque à court terme, mais ne constitue pas une protection suffisante si des comptes de domaine ont déjà été compromis. Un audit des connexions récentes au serveur Veeam est recommandé pour détecter d'éventuels signes d'exploitation précoce.
L'historique des vulnérabilités Veeam illustre un pattern préoccupant : CVE-2023-27532, CVE-2024-40711 et CVE-2025-23120 ont toutes été exploitées activement par des groupes ransomware dans les semaines suivant leur divulgation publique. Veeam est identifié comme une cible de haute valeur dans les rapports de threat intelligence de Mandiant, CrowdStrike et Palo Alto Unit 42. CVE-2026-44963, avec son faible prérequis d'exploitation (simple utilisateur de domaine), présente un profil de risque encore plus élevé que ses prédécesseurs, et doit être traité comme une vulnérabilité d'exploitation imminente.
Impact et exposition
Toute organisation déployant Veeam Backup & Replication version 12.x jusqu'à la build 12.3.2.4465, avec le serveur joint à un domaine Active Directory, est exposée. Les déploiements en workgroup (hors domaine Active Directory) ne sont pas affectés par CVE-2026-44963 dans sa forme actuelle. La version 13.x n'est pas affectée. Les produits Veeam connexes (Veeam Agent for Windows/Linux, Veeam ONE, Veeam Backup for Microsoft 365) ne sont pas directement concernés par cette CVE spécifique.
L'impact d'une exploitation réussie est potentiellement catastrophique pour la résilience organisationnelle. Un attaquant contrôlant le serveur Veeam peut supprimer, chiffrer ou exfiltrer l'intégralité des données de sauvegarde, éliminer les points de restauration, corrompre les catalogues de sauvegarde, désactiver les tâches de sauvegarde futures, et accéder aux credentials des systèmes protégés — stockés dans la configuration Veeam pour permettre les connexions aux hyperviseurs, bases de données et systèmes de fichiers. Dans un scénario de ransomware coordonné, la compromission préalable du serveur Veeam avant le déclenchement du chiffrement est devenue une tactique standard permettant d'éliminer tout espoir de récupération gratuite.
La menace est particulièrement aiguë pour les PME et ETI qui dépendent de Veeam comme unique solution de sauvegarde et qui ne disposent pas de copies hors ligne (air-gapped) ou immuables de leurs données. Les grandes entreprises avec des architectures de sauvegarde redondantes et des sauvegardes immuables dans le cloud sont moins exposées au scénario catastrophe, mais restent vulnérables à l'exfiltration de données et au mouvement latéral depuis le serveur Veeam compromis.
Recommandations immédiates
- Appliquer immédiatement le patch : mettre à jour Veeam Backup & Replication vers la build 12.3.2.4854 — advisory : Veeam Security Advisory KB4679
- Isoler le serveur Veeam par segmentation réseau : restreindre l'accès aux seuls comptes de service et systèmes légitimes via des règles de pare-feu ; bloquer tout accès direct depuis les postes de travail utilisateurs
- Auditer les connexions récentes dans les logs Veeam (History → Sessions) pour détecter des sessions ou des tâches anormales
- Vérifier l'intégrité des sauvegardes : valider les checksums et l'intégrité des restore points récents avant de supposer qu'ils sont exploitables pour une restauration
- Activer l'immutabilité sur les repositories de sauvegarde (Hardened Repository pour Linux, Object Lock pour les stockages S3-compatibles) si ce n'est pas déjà le cas
- Indicateurs de compromission : connexions inattendues au service Veeam (ports TCP 9392, 9401, 9419) depuis des postes utilisateurs ; tâches de restauration ou de suppression de backups non planifiées ; modifications de la configuration des repositories
⚠️ Urgence
CVE-2026-44963 avec CVSS 9.4 transforme n'importe quel compte de domaine compromis en vecteur de destruction totale des sauvegardes. Les groupes ransomware ciblent systématiquement Veeam en priorité : un serveur Veeam vulnérable sur le réseau d'entreprise représente un risque existentiel pour la continuité d'activité. Appliquez le patch 12.3.2.4854 dans les 24 heures.
Comment savoir si je suis vulnérable ?
1) Vérifiez la version : dans la console Veeam Backup & Replication, allez dans Help → About ou exécutez en PowerShell : Get-VBRServer | Select-Object -ExpandProperty Version. Si la build est ≤ 12.3.2.4465 et que vous êtes en version 12.x, vous êtes vulnérable. 2) Vérifiez le domaine : (Get-WmiObject Win32_ComputerSystem).PartOfDomain — si la sortie est True, la vulnérabilité s'applique. 3) Version 13.x : si vous êtes déjà en version 13.x, vous n'êtes pas affecté par CVE-2026-44963.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
Zero-Days RMM et IDE 2026 : ScreenConnect, JetBrains et GitHub
Foxit PDF 2026.1.2 : 30 failles RCE use-after-free patchées
Foxit a publié le 8 juillet 2026 une mise à jour de sécurité majeure pour PDF Reader et PDF Editor, corrigeant plus de 30 vulnérabilités dont de nombreuses failles use-after-free menant à l'exécution de code à distance (RCE) via des fichiers PDF piégés. Le CERT-FR a émis une alerte. Mise à jour urgente vers la version 2026.1.2.
CVE-2026-20896 : Auth bypass Gitea Docker CVSS 9.8
CVE-2026-20896, CVSS 9.8 : les images Docker Gitea ≤ 1.26.2 font confiance à l'en-tête X-WEBAUTH-USER depuis n'importe quelle IP — un attaquant non authentifié obtient un accès administrateur en une seule requête HTTP. Environ 6 200 instances exposées, sondage actif confirmé.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire