En bref

  • Veeam a publie le 9 juin 2026 un correctif d'urgence pour CVE-2026-44963, une faille d'execution de code a distance critique (CVSS v4 : 9.4) dans Backup & Replication 12.
  • La vulnerabilite permet a un utilisateur de domaine authentifie d'executer du code arbitraire sur le serveur de sauvegarde, compromettant potentiellement l'integralite des donnees de recuperation.
  • La mise a jour vers la version 12.3.2.4854 est imperative pour tous les serveurs Veeam integres a un domaine Active Directory ; les environnements workgroup ne sont pas affectes.

Une faille critique qui menace les sauvegardes d'entreprise

Veeam Software a publie le 9 juin 2026 une mise a jour de securite d'urgence pour corriger CVE-2026-44963, une vulnerabilite d'execution de code a distance (RCE) de niveau critique dans Veeam Backup & Replication 12. Avec un score CVSS v4 de 9.4, cette faille se classe parmi les plus severes decouvertes en 2026 sur des logiciels de sauvegarde d'entreprise, un segment particulierement sensible car les solutions de backup constituent souvent la derniere ligne de defense contre les ransomwares.

La vulnerabilite a ete decouverte et signalee de maniere responsable par Sina Kheirkhah, chercheur en securite chez WatchTowr, un cabinet specialise dans la recherche offensive. Kheirkhah est connu pour ses travaux anterieurs sur les vulnerabilites Veeam — il avait notamment publie une analyse approfondie de CVE-2024-40711 en 2024, une faille similaire qui avait ete activement exploitee par des groupes de ransomware quelques semaines apres la publication du PoC. Cette reputation confere a la nouvelle decouverte une credibilite et une urgence particulieres.

Sur le plan technique, CVE-2026-44963 permet a un utilisateur de domaine authentifie — donc disposant a priori de droits limites — d'executer du code arbitraire a distance sur le serveur hebergeant Veeam Backup & Replication. Le vecteur d'exploitation precis n'a pas ete divulgue publiquement, conformement a la politique de divulgation coordonnee entre Veeam et WatchTowr. Cependant, les details techniques seront probablement rendus publics dans les semaines suivant la publication du patch — pratique standard de l'industrie qui rend la fenetre d'application du correctif particulierement critique.

Les versions affectees couvrent toutes les builds de la branche 12 jusqu'a la version 12.3.2.4465 incluse. La version corrigee est la 12.3.2.4854, disponible via la base de connaissance Veeam sous la reference KB4696. Veeam precise clairement que la vulnerabilite ne touche pas les installations en version 13.x, dont l'architecture interne a subi des refactorisations profondes lors de sa conception qui ont elimine le vecteur d'attaque exploite par CVE-2026-44963.

Un point crucial pour les equipes de reponse a incident : la faille ne concerne que les serveurs Veeam integres a un domaine Active Directory. Les deploiements en configuration workgroup — sans appartenance a un domaine — ne presentent pas ce vecteur d'attaque et ne necessitent pas de patch d'urgence. Cependant, Veeam recommande dans tous les cas d'appliquer la mise a jour pour beneficier des correctifs de stabilite inclus dans la build 12.3.2.4854.

Veeam a accompagne l'annonce d'un avertissement explicite sur le risque d'exploitation post-patch. Comme cela s'est produit a plusieurs reprises avec des CVE Veeam precedentes, les groupes de ransomware commencent souvent a developper des exploits des qu'un correctif est publie, en procedant par retro-ingenierie du diff binaire entre l'ancienne et la nouvelle version. CVE-2024-40711, corrigee en septembre 2024, avait ainsi ete exploitee par Akira et d'autres groupes en moins de deux semaines apres la publication du patch.

A l'heure de publication, aucun rapport d'exploitation active n'a ete confirme. La CISA n'a pas encore ajoute CVE-2026-44963 a son catalogue KEV (Known Exploited Vulnerabilities), mais compte tenu du profil de la vulnerabilite et des antecedents des CVE Veeam similaires, l'ajout au KEV est une probabilite a court terme si des exploitations sont observees dans la nature. Les organisations soumises aux obligations NIS2 ou DORA doivent anticiper cette eventualite dans leur gestion des delais de remediation.

Les produits Veeam sont deployes dans plus de 450 000 organisations dans le monde, dont une large majorite d'entreprises du Fortune 500 et d'organisations du secteur public. Cette omniprésence, combinee au role central des sauvegardes dans les strategies de cyber-resilience, explique pourquoi les vulnerabilites Veeam attirent systematiquement l'attention des groupes de menace sophistiques. Selon les analyses de Security Affairs, la capacite a compromettre un serveur de backup ouvre la voie a des attaques de type double extorsion amplifiees, ou les attaquants peuvent non seulement chiffrer les donnees de production mais aussi corrompre ou exfiltrer les sauvegardes avant de declencher le ransomware.

Veeam et les ransomwares : un historique preoccupant

Cette nouvelle vulnerabilite s'inscrit dans un contexte ou Veeam est devenu une cible recurrente pour les acteurs du ransomware. Depuis 2022, au moins cinq CVE critiques dans Backup & Replication ont ete activement exploitees dans des campagnes documentees. CVE-2022-26500 et CVE-2022-26501 avaient permis l'execution de code non authentifiee. CVE-2023-27532 avait ete integree dans les playbooks d'au moins trois groupes de ransomware. CVE-2024-40711 avait ete exploitee par Akira dans des delais records post-publication. Ce palmares illustre le modele d'attaque ou les infrastructures de sauvegarde sont specifiquement ciblees pour neutraliser la capacite de recuperation des victimes.

Pour les RSSI et les equipes de reponse a incident, la gestion de CVE-2026-44963 doit depasser la simple application du patch. Elle implique une verification de l'integrite des sauvegardes existantes (pour s'assurer qu'aucune compromission n'a eu lieu avant la publication de la faille), un audit des acces au serveur Veeam (journaux d'authentification, sessions actives) et une revue des permissions accordees aux comptes de domaine ayant acces au serveur de backup.

D'un point de vue architectural, cet incident rappelle l'importance de la segmentation reseau des infrastructures de sauvegarde. Un serveur Veeam accessible depuis l'ensemble du reseau Active Directory represente une surface d'attaque considerable. Les bonnes pratiques recommandent l'isolement du serveur de backup dans un segment reseau dedie avec des regles de pare-feu strictes, l'utilisation de comptes de service dedies a faibles privileges, et l'activation de l'authentification multi-facteurs pour l'acces a la console Veeam.

La decouverte par un chercheur WatchTowr est egalement un signal fort sur le niveau d'attention que les cabinets specialises portent a l'ecosysteme Veeam. La concentration d'expertise offensive sur ce produit signifie que de nouvelles vulnerabilites seront probablement decouvertes, renforcant l'imperatif d'une strategie de patch management proactive et d'une surveillance continue des bulletins de securite Veeam.

Ce qu'il faut retenir

  • CVE-2026-44963 est une RCE critique CVSS 9.4 dans Veeam Backup & Replication 12 — appliquer immediatement la version 12.3.2.4854 sur tous les serveurs integres a Active Directory.
  • Aucune exploitation active confirmee a ce jour, mais les antecedents Veeam suggerent une fenetre d'exploitation post-patch tres courte — la remediation ne souffre aucun delai.
  • Verifier l'integrite des sauvegardes existantes et auditer les journaux d'acces au serveur Veeam en parallele de l'application du patch.

Mon serveur Veeam est-il expose si je ne suis pas dans un domaine Active Directory ?

Non. CVE-2026-44963 ne concerne que les serveurs Veeam Backup & Replication integres a un domaine Active Directory. Les installations en configuration workgroup ne presentent pas ce vecteur d'attaque. Cela dit, Veeam recommande d'appliquer la mise a jour dans tous les cas pour beneficier des correctifs de stabilite inclus.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersecurite et IA.

Prendre contact