CVE-2024-29849-Erkennung: Kritische Authentifizierungsumgehung im Veeam Backup Enterprise Manager

Ein weiterer Tag, eine weitere Bedrohung auf dem Radar, die Cyberverteidiger herausfordert. Dieses Mal bezieht sich die Cyber-Sicherheitswarnung auf eine bösartige Schwachstelle im Veeam Backup Enterprise Manager (VBEM), die es Angreifern ermöglicht, die Authentifizierung zu umgehen und vollen Zugriff auf die Weboberfläche der Plattform zu erlangen. Verfolgt als CVE-2024-29849, erhielt der Fehler einen CVSS-Score von 9,8 und stellt eine zunehmende Gefahr dar, da der PoC öffentlich veröffentlicht wurde.

Erkennen von CVE-2024-29849-Ausbeutungen

Die neuesten Statistiken zeigen dass bereits über 18.000 Schwachstellen im Jahr 2024 identifiziert wurden, was im Vergleich zu dieser Zeit im letzten Jahr eine Zunahme von 46% bedeutet. Mit der steigenden Anzahl von Schwachstellen, die für Attacken in der freien Wildbahn eingesetzt werden, suchen Sicherheitsexperten nach einer zuverlässigen Quelle für kuratierte Erkennungsregeln und verifizierte Jagd-Anfragen, um Angreifern voraus zu sein.

Mit der SOC Prime Plattform für kollektive Cyberabwehrerhalten Sicherheitsexperten Zugriff auf einen globalen Regel-Feed der neuesten einsatzbereiten Verhaltensdetektions-Algorithmen, die innerhalb eines 24-Stunden-SLAs nach der Bedrohungsentdeckung verfügbar sind. Um mögliche bösartige Aktivitäten im Zusammenhang mit CVE-2024-29849-Ausbeutungsversuchen zu identifizieren, sehen Sie sich unten eine Sigma-Regel an.

Möglicher CVE-2024-29849 (Veeam Backup Authentifizierungs-Umgehung) Ausbeutungsversuch (über Webserver)

Die Erkennung ist mit über 30 SIEM-, EDR- und Data Lake-Lösungen kompatibel und auf den MITRE ATT&CK® -Rahmen v14 abgebildet. Zusätzlich sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich CTI-Referenzen und Angriffzeitlinien, die Sicherheitsexperten helfen, Bedrohungsuntersuchungen zu erleichtern.

Suchen Sie nach mehr Erkennungsinhalten für den Anwendungsfall Proaktive Schwachstellenerkennung? Cyberverteidiger können in den gesamten Erkennungs-Stack eintauchen, der auf die Erkennung von Schwachstellenausbeutungen abzielt, indem sie auf den Erkennungen durchsuchen Knopf unten klicken, um die SOC-Effizienz zu steigern und die Organisationsinfrastruktur zu sichern.

Erkennungen durchsuchen

Analyse von CVE-2024-29849

Ein kritischer VBEM-Sicherheitsfehler (CVE-2024-29849) hat kürzlich Schlagzeilen gemacht. Der Anbieter veröffentlichte eine Empfehlung, die Kunden über eine neuartige Schwachstelle informiert, die es Bedrohungsakteuren ermöglicht, die Authentifizierungsschutz zu überwinden, wenn sie erfolgreich ausgenutzt wird.

Der Anbieter enthüllte auch drei zusätzliche Sicherheitsfehler, die dasselbe Produkt betreffen, einschließlich CVE-2024-29850, das zu einem Konto-Kompromiss über eine NTLM-Weiterleitung führen könnte, CVE-2024-29851, das einem Benutzer mit erweiterten Berechtigungen ermöglicht, NTLM-Hashes eines VBEM-Dienstkontos zu stehlen, es sei denn, es ist so konfiguriert, dass es als Standard-Lokales Systemkonto ausgeführt wird, und CVE-2024-29852, das einem autorisierten Benutzer ermöglicht, Sitzungssicherungsprotokolle abzurufen.

Früher nutzten Gegner Schwachstellen in Veeam-Produkten gegen Organisationen in den USA und Lateinamerika aus, insbesondere CVE-2023-27532, ein Sicherheitsfehler in Veeam Backup & Replikationssoftware.

Seit ein PoC für CVE-2024-29849 online aufgetaucht ist, ist es zwingend erforderlich, dass Administratoren unverzüglich die neuesten Sicherheitspatches installieren. Um die Risiken bewaffneter Angriffe zu beheben, hat der Anbieter die Patches im VBEM Version 12.1.2.172sofort adressiert. Für diejenigen, die nicht in der Lage sind, die oben genannte VBEM-Version zu patchen, wird empfohlen, den Zugriff auf die VBEM-Weboberfläche auf vertrauenswürdige IP-Adressen zu beschränken, MFA zu aktivieren und den Zugriff auf Protokolle kontinuierlich auf verdächtige Aktivitäten als temporäre CVE-2024-29849-Minderungsmaßnahmen zu überwachen.

Da sich die Risiken von Angriffen, die bekannte Schwachstellen in populären Softwareprodukten, die von globalen Unternehmen genutzt werden, zunehmend eskalieren, suchen Verteidiger nach Wegen, um die proaktive Bedrohungserkennung auf die nächste Stufe zu heben. Erkunden Sie das neu veröffentlichte Enterprise Fair Use Licensing Modell von SOC Prima , um unbegrenzte Bedrohungserkennungs- und Erkennungs-Engineering-Fähigkeiten ohne Einschränkungen in Bezug auf Content-Freischaltung ohne zusätzliche Kosten zu erhalten, damit Ihre Organisation proaktiv gegen aufkommende und dauerhaft bestehende Bedrohungen verteidigen kann.