Skip to content
hacker_posts

Veeam Backup & Replication 13.0.2.29 corrige CVE-2026-32997 (CERTFR-2026-AVI-0652)

Veeam patche en urgence VBR 13.0.2.29 : écriture de fichier authentifiée sur l'appliance Linux (8,6) et élévation de privilèges locale sur l'agent Windows (7,3). Avis CERT-FR du 27 mai.

Publié le 4 min de lecture
cveveeambackupalertecert-fr

Le CERT-FR a publié le 27 mai 2026 l'avis CERTFR-2026-AVI-0652, qui répercute le bulletin Veeam KB4852 du même jour. Deux vulnérabilités sont corrigées dans Veeam Backup & Replication 13.0.2.29, dont une écriture de fichier arbitraire authentifiée sur les appliances Linux qui pèse 8,6 CVSS, et une élévation de privilèges locale sur l'agent Windows.

Aucune exploitation active n'est mentionnée par Veeam ni par le CERT-FR à la publication. Le contexte importe quand même : les serveurs Veeam concentrent les sauvegardes de production et restent une cible privilégiée des opérateurs ransomware, comme l'a rappelé la série de sept vulnérabilités critiques corrigée le 12 mars 2026 dans le KB4830 sur la branche 12.

Vulnérabilités corrigées

  • CVE-2026-32997CVSS 8,6, CWE-36 (Absolute Path Traversal). Permet à un utilisateur authentifié disposant du rôle Backup Administrator d'écrire des fichiers arbitraires sur le serveur Veeam Backup & Replication Linux (Veeam Software Appliance). Sur une appliance qui exécute le service VBR avec des privilèges élevés, l'écriture arbitraire de fichier devient une primitive d'exécution de code triviale via cron, authorized_keys, unit systemd, ou simple écrasement de binaire dans $PATH.
  • CVE-2026-32996CVSS 7,3. Élévation de privilèges locale dans Veeam Agent for Microsoft Windows. Un attaquant local non privilégié peut élever ses droits sur la machine hébergeant l'agent — typiquement un serveur de production sauvegardé ou un poste de travail protégé.

Périmètres concernés

  • Veeam Backup & Replication : toutes les versions de la branche 13 antérieures à 13.0.2.29, y compris la 13.0.1.2067 distribuée jusqu'au correctif. La branche 12.x n'est pas concernée par ces deux CVE — elle a fait l'objet d'un cycle de correctifs distinct en mars (KB4830).
  • Veeam Software Appliance (l'image Linux durcie publiée avec la branche 13) : exposée à CVE-2026-32997.
  • Veeam Agent for Microsoft Windows : exposé à CVE-2026-32996. Le bulletin KB4852 indique que le correctif est livré conjointement avec VBR 13.0.2.29 ; l'agent doit être redéployé sur les machines protégées.

Statut de l'exploitation

Ni le CERT-FR, ni Veeam, ni les éditeurs de threat intelligence n'ont publié à ce jour d'indicateur d'exploitation active pour CVE-2026-32996 ou CVE-2026-32997. Aucun PoC public n'est disponible au moment de la publication.

La fenêtre tranquille est néanmoins courte sur ce produit. Les opérateurs ransomware intègrent historiquement les CVE Veeam à leur boîte à outils dès qu'un correctif est publié — Sophos avait documenté en 2024 l'exploitation de CVE-2024-40711 par les groupes Fog et Akira dans les semaines suivant le patch. Pour CVE-2026-32997, le pré-requis « rôle Backup Administrator » est moins protecteur qu'il n'y paraît : ce rôle est largement délégué aux équipes d'exploitation, et la compromission d'un poste admin de sauvegarde via un canal classique (vol de session, phishing) suffit à l'enchaînement.

Que faire

  1. Mettre à jour Veeam Backup & Replication vers 13.0.2.29. Le KB4852 contient le lien de téléchargement direct et la procédure d'upgrade. Sur un déploiement multi-rôles (serveur VBR, proxies, repositories), l'upgrade côté serveur central propage les composants — vérifier toutefois la version effective sur les proxies après redémarrage.
  2. Redéployer Veeam Agent for Microsoft Windows sur l'ensemble des machines protégées après l'upgrade serveur. Tant que les agents tournent en version antérieure, CVE-2026-32996 reste exploitable localement.
  3. Si l'appliance Linux est exposée, restreindre l'accès au plan de gestion VBR au strict minimum réseau (saut de bastion + IP allowlist). CVE-2026-32997 exige un compte VBR authentifié — couper l'accès au panneau d'admin coupe l'exploitabilité tant que le patch n'est pas appliqué.
  4. Auditer le rôle Backup Administrator. Sur la majorité des déploiements observés, ce rôle est attribué bien au-delà du périmètre strictement nécessaire. Le cycle de patch est une bonne occasion de réduire la liste — la documentation Veeam couvre cette gestion via le panneau Users and Roles.
  5. Surveiller les écritures de fichiers inattendues dans /etc/cron.d/, /etc/systemd/system/, ~/.ssh/authorized_keys, et /usr/local/bin/ sur les appliances Linux jusqu'à l'application du correctif. Sur les machines portant l'agent Windows, surveiller l'apparition de processus enfants inattendus sous le compte de service Veeam.

Contexte

C'est le deuxième cycle de correctifs Veeam Backup & Replication couvert par le CERT-FR en 2026, après la salve de mars (KB4830, sept vulnérabilités critiques). Le rythme est cohérent avec l'attractivité du produit : Veeam est l'un des grands éditeurs de sauvegarde d'entreprise déployés en France, et chaque CVE qui y atterrit déclenche un cycle d'exploitation court — quelques semaines entre patch et apparition dans les playbooks ransomware. Le CISA a inscrit plusieurs CVE Veeam à son catalogue Known Exploited Vulnerabilities depuis fin 2022 ; il faut s'attendre à ce qu'au moins l'une de ces deux nouvelles entrées subisse le même sort si un PoC émerge.

Côté français, les RSSI sont également soumis aux obligations de notification NIS2 : un opérateur essentiel qui découvrirait une compromission via CVE-2026-32997 entre dans le périmètre de notification ANSSI sous 24 heures. La fenêtre de patch est aussi celle de la traçabilité — gardez les logs.

Articles liés