CVE-2024-29849 Detection: A Critical Auth Bypass In Veeam Backup Enterprise Manager

[post-views]
6月 11, 2024 · 6 分で読めます
CVE-2024-29849 Detection: A Critical Auth Bypass In Veeam Backup Enterprise Manager

また新たな一日、新たな脅威がサイバー防衛者に挑戦を投げかけています。今回は、サイバーセキュリティの警告が、認証を回避し、プラットフォームのウェブインターフェースに完全なアクセスを取得するために悪用される、Veem Backup Enterprise Manager(VBEM)全体にわたって特定された悪意のある欠陥に関するものです。CVE-2024-29849として追跡されているこのバグは、9.8のCVSSスコアを獲得し、PoCが公開されることで脅威が一層増しています。

CVE-2024-29849のエクスプロイトを検出する

最新の統計 によると 2024年にはすでに18,000以上の脆弱性が特定されており、昨年の同時期と比較して46%の増加を示しています。野生での攻撃のために脆弱性が武器化される数が増加する中、セキュリティ専門家は、信頼できる検出ルールのキュレーションと検証されたハンティングクエリのソースを求めています。

使用する SOC Primeの集団サイバー防御プラットフォームにより、セキュリティ専門家は最新の即時デプロイ可能な振る舞い検出アルゴリズムのグローバルルールフィードにアクセスすることができます。CVE-2024-29849のエクスプロイト試行に関連する可能性のある悪意のあるアクティビティを特定するために、以下のSigmaルールを確認してください。

CVE-2024-29849(Veeam Backup Authentication Bypass)エクスプロイト試行(ウェブサーバー経由)の可能性

この検出は、30以上のSIEM、EDR、およびデータレイクソリューションに対応しており、MITRE ATT&CK® フレームワークv14にマッピングされています。さらに、検出は大量のメタデータで強化されており、CTI参照や攻撃タイムラインを含めることで、セキュリティ研究者が脅威調査を円滑に進めるのを助けます。

プロアクティブな脆弱性検出のユースケースに対応するさらなる検出コンテンツをお探しですか?サイバー防衛者は、脆弱性のエクスプロイト検出を目的とした検出スタック全体に没頭し、「 検出を探索する 」ボタンを下にクリックして、SOC効率を高め、組織のインフラを保護しましょう。

検出を探索する

CVE-2024-29849の分析

重大なVBEMのセキュリティバグ(CVE-2024-29849)が最近話題になりました。ベンダーは アドバイザリを発行しました。これは、脅威アクターが認証保護を克服するための新たな脆弱性について顧客に通知するものです。 

ベンダーはまた、同じ製品に影響を及ぼす3つの追加のセキュリティバグを明らかにしました。CVE-2024-29850はNTLMリレーによるアカウントの危険性につながる可能性があり、CVE-2024-29851は昇格した権限を持つユーザーがVBEMサービスアカウントのNTLMハッシュを盗む可能性があり、これはデフォルトのローカルシステムアカウントとして構成されていない限り行われます。また、CVE-2024-29852は認証されたユーザーがバックアップセッションのログを取得することを許可します。

以前は、米国およびラテンアメリカの組織を相手に、Veeam製品の脆弱性が武器化されました。特に、 CVE-2023-27532は、Veeam Backup & Replicationソフトウェアのセキュリティバグです。

CVE-2024-29849のPoCが オンラインに出回っているため、管理者は最新のセキュリティパッチを迅速にインストールすることが重要です。武器化された攻撃のリスクを軽減するために、ベンダーはVBEM バージョン12.1.2.172 で即時にパッチを対処しました。上記のVBEMバージョンにパッチを適用できない場合、防衛者はVBEMのウェブインターフェースへのアクセスを信頼できるIPアドレスに限定し、MFAを有効にし、疑わしい活動をアクセスログで継続的に監視することを一時的なCVE-2024-29849の緩和策として推奨しています。世界中の企業で利用されている人気のあるソフトウェア製品で既知の脆弱性を悪用する攻撃のリスクが継続的に増加しているため、防衛者は次のレベルでプロアクティブな脅威検出を実現する方法を模索しています。

SOC Primesの新たにリリースされたエンタープライズフェアユースライセンシングモデル を探求し、コンテンツの解放に関連する制限なしに、脅威検出と検出エンジニアリング機能を無制限に利用し、組織が新たな脅威と持続的な脅威にプロアクティブに対抗するのを助けます。 してください。



目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
Veronika Telychko
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
ブログ, 最新の脅威 — 7 分で読めます
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
Veronika Telychko