Detección de CVE-2024-29849: Una Crítica Omisión de Autenticación en Veeam Backup Enterprise Manager
Tabla de contenidos:
Otro día, otra amenaza en el radar desafiando a los defensores cibernéticos. Esta vez, la alerta de ciberseguridad se refiere a una falla nefasta identificada en Veem Backup Enterprise Manager (VBEM) que permite a los adversarios eludir la autenticación y obtener acceso completo a la interfaz web de la plataforma. Rastreado como CVE-2024-29849, el error logró una puntuación de 9.8 en CVSS, representando una amenaza creciente con la publicación pública del PoC.
Detectar Exploits de CVE-2024-29849
Las últimas estadísticas revelan que se han identificado más de 18,000 vulnerabilidades en 2024, marcando un aumento del 46% en comparación con esta época del año pasado. Con la creciente cantidad de fallas armadas para ataques en la naturaleza, los profesionales de seguridad están buscando una fuente confiable de reglas de detección curadas y consultas de búsqueda verificadas para adelantarse a los adversarios.
Usando la Plataforma de SOC Prime para la defensa cibernética colectiva, los expertos en seguridad obtienen acceso a un feed global de reglas de los últimos algoritmos de detección conductual listos para desplegar bajo un SLA de 24 horas después del descubrimiento de la amenaza. Para identificar posible actividad maliciosa vinculada a intentos de explotación de CVE-2024-29849, consulte una regla Sigma a continuación.
La detección es compatible con más de 30 soluciones SIEM, EDR y Data Lake y está mapeada al marco de trabajo MITRE ATT&CK® v14. Además, las detecciones están enriquecidas con metadatos extensos, incluidas referencias CTI y líneas de tiempo de ataque, ayudando a los investigadores de seguridad a suavizar las investigaciones de amenazas.
¿Buscando más contenido de detección que aborde el caso de uso de Detección Proactiva de Vulnerabilidades? Los defensores cibernéticos pueden sumergirse en todo el conjunto de detección dirigido a la detección de explotaciones de vulnerabilidades haciendo clic en el Explorar Detecciones botón a continuación para aumentar la eficiencia del SOC y asegurar la infraestructura organizacional.
Análisis de CVE-2024-29849
Un error de seguridad crítico en VBEM (CVE-2024-29849) ha sido recientemente noticia. El proveedor emitió un aviso, notificando a los clientes sobre una nueva vulnerabilidad que permite a los actores de amenazas superar la protección de autenticación tras su exitosa explotación.
El proveedor también reveló tres errores de seguridad adicionales que afectan al mismo producto, incluido CVE-2024-29850, que podría llevar a la compromisión de cuentas a través de NTLM relay, CVE-2024-29851, que permite a un usuario con privilegios elevados robar los hashes NTLM de una cuenta de servicio VBEM a menos que esté configurado para ejecutarse como la cuenta del Sistema Local predeterminada, y CVE-2024-29852, que permite a un usuario autorizado recuperar los registros de sesión de respaldo.
Anteriormente, los adversarios armaron vulnerabilidades en productos Veeam contra organizaciones en los EE. UU. y América Latina, en particular, CVE-2023-27532, un error de seguridad en el software Veeam Backup & Replication.
Dado que un PoC para CVE-2024-29849 ha surgido en línea, es imperativo que los administradores instalen prontamente los parches de seguridad más recientes. Para remediar los riesgos de ataques armados, el proveedor ha abordado instantáneamente los parches en la versión 12.1.2.172de VBEM. Para aquellos que no pueden actualizar a la versión de VBEM mencionada anteriormente, los defensores recomiendan limitar el acceso a la interfaz web de VBEM a direcciones IP de confianza, habilitar MFA y seguir monitoreando los registros de acceso en busca de actividades sospechosas como medidas temporales de mitigación de CVE-2024-29849.
Dado que los riesgos de ataques que explotan vulnerabilidades conocidas en productos de software populares utilizados por empresas globales están aumentando continuamente, los defensores están buscando formas de llevar la detección proactiva de amenazas al siguiente nivel. Explora el Modelo de Licencia de Uso Justo Empresarial de SOC Primes recién lanzado para obtener capacidades ilimitadas de detección de amenazas e ingeniería de detección sin límites relacionados con el desbloqueo de contenido sin costo adicional, ayudando a su organización a defenderse proactivamente contra amenazas emergentes y perennes.
