Rilevamento CVE-2024-29849: Un grave bypass dell’autenticazione in Veeam Backup Enterprise Manager

Un altro giorno, un’altra minaccia sul radar che sfida i difensori informatici. Questa volta, l’allerta sulla sicurezza informatica si riferisce a un difetto nefando identificato in Veem Backup Enterprise Manager (VBEM) che consente agli avversari di bypassare l’autenticazione e ottenere accesso completo all’interfaccia web della piattaforma. Tracciato come CVE-2024-29849, il bug ha ottenuto un punteggio CVSS di 9.8, rappresentando una minaccia crescente con il PoC pubblicato pubblicamente.

Rilevare gli exploit di CVE-2024-29849

Le ultime statistiche rivelano che sono state già identificate oltre 18.000 vulnerabilità nel 2024, segnando un aumento del 46% rispetto a questo periodo dell’anno scorso. Con l’aumento delle falle sfruttate per attacchi in-the-wild, i professionisti della sicurezza stanno cercando una fonte affidabile di regole di rilevamento curate e query di caccia verificate per stare al passo con gli avversari.

Usando la piattaforma di SOC Prime per la difesa informatica collettiva, gli esperti di sicurezza accedono a un flusso globale di regole degli algoritmi di rilevamento comportamentale pronti per il dispiegamento disponibili sotto un SLA di 24 ore dopo la scoperta della minaccia. Per identificare possibili attività malevole legate ai tentativi di sfruttamento di CVE-2024-29849, dai un’occhiata a una regola Sigma qui sotto.

Possibile Tentativo di Sfruttamento di CVE-2024-29849 (Veeam Backup Authentication Bypass) (via server web)

Il rilevamento è compatibile con oltre 30 soluzioni SIEM, EDR e Data Lake e mappato al framework MITRE ATT&CK® v14. Inoltre, i rilevamenti sono arricchiti con metadati estesi, comprese le referenze CTI e le cronologie degli attacchi, aiutando i ricercatori della sicurezza a facilitare le indagini sulle minacce.

Cerchi più contenuti di rilevamento che affrontano il caso d’uso di rilevamento delle vulnerabilità proattive? I difensori informatici possono esplorare l’intero stack di rilevamento mirato alla rilevazione degli exploit delle vulnerabilità cliccando sul pulsante Esplora Rilevamenti qui sotto per aumentare l’efficienza del SOC e proteggere l’infrastruttura organizzativa.

pulsante Esplora Rilevamenti

Analisi di CVE-2024-29849

Una vulnerabilità di sicurezza critica in VBEM (CVE-2024-29849) ha recentemente fatto notizia. Il fornitore ha rilasciato un avviso, notificando ai clienti una nuova vulnerabilità che consente agli attori delle minacce di superare la protezione dell’autenticazione in seguito al suo sfruttamento riuscito.

Il fornitore ha anche rivelato tre bug di sicurezza aggiuntivi che influenzano lo stesso prodotto, incluso CVE-2024-29850 che potrebbe portare alla compromissione dell’account tramite NTLM relay, CVE-2024-29851, che consente a un utente con privilegi elevati di rubare gli hash NTLM di un account di servizio VBEM a meno che non sia configurato per funzionare come account predefinito Local System, e CVE-2024-29852, che consente a un utente autorizzato di recuperare i log delle sessioni di backup.

In precedenza, gli avversari avevano sfruttato vulnerabilità nei prodotti Veeam contro organizzazioni negli Stati Uniti e in America Latina, in particolare, CVE-2023-27532, un bug di sicurezza nel software Veeam Backup & Replication.

Poiché un PoC per CVE-2024-29849 è emerso online, è imperativo che gli amministratori installino tempestivamente le patch di sicurezza più recenti. Per mitigare i rischi di attacchi sfruttati, il fornitore ha prontamente affrontato le patch nella versione VBEM 12.1.2.172. Per coloro che non possono applicare la patch alla versione VBEM sopra indicata, i difensori raccomandano di limitare l’accesso all’interfaccia web VBEM a indirizzi IP fidati, abilitare l’MFA e tenere continuamente traccia dei log di accesso per attività sospette come misure temporanee di mitigazione di CVE-2024-29849.

Poiché i rischi di attacchi che sfruttano vulnerabilità conosciute nei prodotti software popolari utilizzati dalle imprese globali continuano ad aumentare, i difensori stanno cercando modi per portare il rilevamento proattivo delle minacce al livello successivo. Esplora il nuovo modello di licenza Fair Use Enterprise di SOC Primes per ottenere capacità illimitate di rilevamento delle minacce e ingegneria del rilevamento senza limiti di sblocco del contenuto senza costi aggiuntivi, aiutando la tua organizzazione a difendersi proattivamente contro minacce emergenti e perenni.