Les cybercriminels apprécient particulièrement les vulnérabilités concernant les éditeurs de sauvegarde. On comprend pourquoi la Cisa (équivalent américain de l’Anssi) vient de lancer un avertissement sur une faille critique touchant la solution Backup & Replication de Nakivo. Répertoriée CVE-2024-48248 et un score de gravité de CVSS 8.6, elle entraîne une traversée de répertoire. « Cette vulnérabilité permet aux attaquants de lire des fichiers arbitraires sur le système affecté sans authentification », a déclaré le spécialiste américain de la sauvegarde des VM et des environnements SaaS dans l'avis de sécurité. « L'exploitation de cette vulnérabilité pourrait exposer des données sensibles, y compris des fichiers de configuration, des sauvegardes et des informations d'identification, ce qui pourrait conduire à des violations de données ou à d'autres compromissions de la sécurité » poursuit le fournisseur.

La vulnérabilité a été identifiée pour la première fois et portée à la connaissance de Nakivo par la société de cybersécurité WatchTowr le 13 septembre 2024. Il a fallu plus d'un mois à l’éditeur pour reconnaître la découverte. En conformité avec sa politique de diffusion, WatchTowr a publié des détail sur la faille, ainsi qu’un prototype d’exploit en février 2025.

Une diffusion d'un PoC d'exploit face au mutisme de Nakivo

Dans son alerte, la Cisa a expliqué que la brèche de sécurité était activement exploitée. Il est difficile de dire néanmoins si la publication du PoC par WatchTwr a facilité les campagnes d’attaques. La société était consciente du problème lors de la diffusion de son exploit. Il indique dans un blog « face à une vulnérabilité aussi « simple », il est parfois difficile de croire que nous sommes les seuls à être tombés dessus ».

Dans le viseur, la stratégie de Nakivo qui a eu déjà du mal à répondre aux sollicitations de WatchTwr. « Nous supposons bien sûr qu'ils ont contacté tous leurs clients sous NDA [ ndlr : clause de confidentialité] et qu'ils les ont encouragés à patcher discrètement, afin d'éviter de laisser leurs clients vulnérables à leur insu », glisse le fournisseur de cybersécurité. La vulnérabilité n’est pas sans rappeler celle découverte récemment chez Veeam dans son outil nommé également Backup & Replication.