CVE-2026-44963 : RCE Veeam Backup CVSS 9.4 ransomware

Les faits

Veeam a divulgué CVE-2026-44963 en juin 2026, une vulnérabilité critique de désérialisation non sécurisée affectant Veeam Backup & Replication v12. La faille obtient un score CVSS 4.0 de 9.4 (Critique) avec le vecteur AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H. La découverte est attribuée au chercheur Sina Kheirkhah de watchTowr Labs, auteur de plusieurs vulnérabilités critiques divulguées en 2026. Contrairement à CVE-2026-10520 (Ivanti Sentry), cette vulnérabilité requiert un niveau d'authentification minimal : un simple compte d'utilisateur de domaine bas niveau suffit à l'exploiter, sans droits administrateur sur le serveur Veeam.

La vulnérabilité est de type CWE-502 (Deserialization of Untrusted Data). La désérialisation non sécurisée est l'une des classes de vulnérabilités les plus dangereuses dans les applications .NET et Java. Elle survient lorsqu'une application reconstruit (désérialise) des objets à partir de données externes sans validation préalable du contenu. Si un attaquant peut contrôler les données désérialisées, il peut instancier des classes arbitraires ou chaîner des appels de méthodes pour atteindre l'exécution de code — sans injection directe de code machine, en exploitant uniquement des classes légitimes du framework .NET.

Dans le cas de CVE-2026-44963, la vulnérabilité affecte le service de communication principal de Veeam Backup & Replication, qui écoute sur le réseau et accepte des connexions de clients et d'autres composants Veeam. Un utilisateur de domaine authentifié — disposant de droits standards sans privilèges administrateur sur le serveur VBR — peut envoyer des données sérialisées malicieusement construites à ce service. Le service désérialise ces données sans contrôle suffisant, permettant à l'attaquant de contrôler quelles classes .NET sont instanciées et quels constructeurs ou méthodes sont invoqués lors du processus de désérialisation.

L'exploitation typique d'une désérialisation .NET utilise des "gadget chains" — des séquences d'appels de méthodes sur des classes du framework .NET qui, lorsqu'elles sont enchaînées correctement, aboutissent à l'exécution d'une commande système. Des outils comme ysoserial.net permettent de générer automatiquement des payloads de désérialisation pour différents frameworks .NET. Un PoC fonctionnel a été publié sur GitHub peu après la divulgation de CVE-2026-44963, abaissant drastiquement la barrière d'exploitation et rendant l'attaque accessible à des acteurs sans expertise approfondie en désérialisation .NET.

L'impact d'une exploitation réussie est une exécution de code arbitraire avec les privilèges du service Veeam Backup, qui tourne généralement avec des droits SYSTEM ou administrateur local élevés sur le serveur VBR. Cela accorde à l'attaquant un contrôle total sur le serveur de sauvegarde : accès à tous les jobs de sauvegarde en cours, aux credentials stockés chiffrés dans la base de données, aux connexions avec les hyperviseurs vSphere/Hyper-V/Nutanix, et aux systèmes de stockage S3/NFS/SMB. La version 13.x de Veeam Backup & Replication n'est pas affectée en raison d'une refonte architecturale de la couche de communication dans cette version majeure.

Le correctif est disponible dans la version 12.3.2.4854, publiée par Veeam via son advisory KB4681. La mise à jour est disponible depuis le portail de support Veeam. Veeam a classifié ce patch comme critique et recommande une application prioritaire, en dehors des fenêtres de maintenance habituelles pour les environnements à risque élevé. Seule la branche v12 jusqu'à la version 12.3.2.4465 est concernée — les organisations ayant déjà migré vers Veeam 13.x ne sont pas exposées à cette faille spécifique.

CVE-2026-44963 s'inscrit dans un historique préoccupant pour Veeam. CVE-2024-40711, une RCE non authentifiée dans Veeam Backup & Replication v12, avait été weaponisée par les groupes ransomware Akira et Fog dans les semaines suivant sa divulgation en septembre 2024, d'après les rapports de Sophos X-Ops. CVE-2023-27532, une autre faille Veeam, avait été exploitée activement par des acteurs affiliés aux groupes FIN7 et Cuba ransomware. Ce pattern de compromission rapide post-divulgation constitue un indicateur fort de la probabilité d'exploitation de CVE-2026-44963 dans un délai court, selon BleepingComputer et The Hacker News.

La condition d'authentification minimale requise — un simple utilisateur de domaine bas niveau — ne doit pas minimiser la menace. Dans la majorité des entreprises, les comptes de domaine standards ont un accès réseau aux serveurs VBR. De plus, des attaquants ayant compromis un premier poste de travail via phishing disposent automatiquement des credentials nécessaires pour exploiter CVE-2026-44963 lors de leur phase de mouvement latéral, en ciblant l'infrastructure de sauvegarde pour maximiser l'impact d'une attaque ransomware — une stratégie documentée par les équipes d'incident response de Mandiant et CrowdStrike lors de compromissions Veeam précédentes.

Impact et exposition

Veeam Backup & Replication est le leader mondial des solutions de sauvegarde d'entreprise avec plus de 550 000 clients dans 150 pays. Cette présence massive fait de la plateforme une cible de choix pour les groupes ransomware. En compromettant les serveurs de sauvegarde avant le déploiement du ransomware sur les systèmes de production, les attaquants suppriment ou chiffrent les sauvegardes, rendant toute récupération impossible sans payer la rançon. Les groupes Akira, Fog, Black Basta et LockBit ciblent systématiquement Veeam lors de leurs intrusions, selon les analyses de plusieurs équipes de threat intelligence.

Les conditions d'exploitation sont accessibles dans la grande majorité des environnements d'entreprise : tout utilisateur Active Directory peut potentiellement exploiter la faille si le serveur VBR est accessible depuis son segment réseau. Dans les environnements où le VBR est directement joint au domaine — pratique courante — des milliers de comptes d'utilisateurs disposent théoriquement du niveau d'accès requis. La segmentation réseau insuffisante entre les postes utilisateurs et les serveurs de sauvegarde, fréquente dans les PME, crée une exposition directe à cette vulnérabilité.

Les indicateurs de risque sont convergents : PoC disponible publiquement sur GitHub, historique d'exploitation rapide des vulnérabilités Veeam par des groupes ransomware majeurs, valeur stratégique extrêmement élevée des serveurs de sauvegarde dans le modèle d'attaque ransomware, et large base installée mondiale dépassant 550 000 clients. La probabilité d'exploitation active dans les deux à trois semaines suivant la divulgation est très élevée, en ligne avec les délais observés pour CVE-2024-40711 et CVE-2023-27532.

Recommandations immédiates

• Mettre à jour Veeam Backup & Replication vers la version 12.3.2.4854 — advisory : Veeam KB4681
• Si mise à jour impossible immédiatement : isoler le serveur VBR dans un segment réseau dédié avec accès restreint aux seuls comptes administrateurs Veeam (ports 9401, 9402, 9403)
• Auditer les règles de pare-feu pour s'assurer que les ports de service Veeam ne sont pas accessibles depuis les VLANs utilisateurs standards
• Activer la supervision des connexions entrantes sur le service Veeam Backup et alerter sur toute connexion inhabituelle d'un compte à faibles privilèges
• Vérifier l'intégrité des jobs de sauvegarde existants — s'assurer qu'ils n'ont pas été modifiés ou supprimés récemment
• S'assurer que des sauvegardes immuables (object storage avec lock WORM) sont en place pour permettre une récupération garantie en cas d'attaque ransomware