CVE-2024-21111 탐지: PoC 익스플로잇이 공개된 Oracle VirtualBox의 새로운 치명적인 로컬 권한 상승 취약점

CVE-2024-21111로 지정된 새로운 취약점이 널리 사용되는 오픈 소스 가상화 소프트웨어인 Oracle Virtualbox에서 최근 발견되었습니다. 발견된 중대한 Oracle VirtualBox 취약점은 공격자가 심볼릭 링크를 통해 권한을 NT AUTHORITYSYSTEM으로 상승시킬 수 있게 하며, 이는 임의 파일 삭제나 이동으로 이어질 수 있습니다.

CVE-2024-21111 악용 시도 탐지

공격자들이 인기 있는 오픈 소스 제품의 취약점을 무기화하는 공격이 급증하고 복잡해지면서, 취약점 악용에 대한 선제적 탐지 는 최고 사이버 보안 사용 사례 중 하나로 남아 있습니다. 집합 사이버 방어를 위한 SOC Prime 플랫폼은 공격자들이 침입 호스트에서 권한을 상승시키기 위해 악용하는 새로운 중대한 Oracle VM VirtualBox 취약점의 잠재적 악용 시도를 탐지하기 위한 새로운 Sigma 규칙을 최근 출시했습니다. 플랫폼에 로그인하여 관련 CTI, 심층 메타데이터로 보강된 관련 탐지 알고리즘에 액세스하고 업계 선도의 SIEM, EDR, 데이터 레이크 솔루션과 호환됩니다.

가능한 CVE-2024-21111 (Oracle Virtualbox LPE) 악용 시도 (file_event를 통해)

탐지는 MITRE ATT&CK® 프레임워크와 일치하며 권한 상승 전술 및 권한 상승을 위한 취약점 악용 기술(T1068)과 관련이 있습니다.

새롭게 떠오르는 위협에 앞서 적극적으로 대응하고 침입 위험을 적기에 경감하기 위해 플랫폼을 통해 제공되는 관련 고품질 SOC 콘텐츠의 전체 컬렉션을 탐색하세요. 탐지 탐색 아래 버튼을 클릭하세요.

탐지 탐색

CVE-2024-21111 분석

새로운 취약점 CVE-2024-21111는 사이버 위협 환경에서 등장했습니다. 이 보안 버그는 치명도 높은 7.8의 CVSS 점수를 가지고 있으며 Oracle VM VirtualBox 버전 7.0.16 이전에 영향을 미칩니다.

CVE-2024-21111은 낮은 권한과 로그온 액세스를 가진 공격자가 Oracle VM VirtualBox를 손상시킬 수 있으므로 주요 위협이 됩니다. 결함은 공격자들에 의해 디렉토리 내 파일 삭제 및 임의 파일 이동에 악용될 수 있으며, 이는 시스템 장악으로 이어질 가능성이 있습니다. 그러나 이 결함은 윈도우 호스트에만 상당한 위험을 줍니다. CVE-2024-21111은 보안 연구원 Naor Hodorov에 의해 발견되었으며, 이 취약점을 위한 PoC 익스플로잇 코드도 생성되었습니다.

위협이 증가함에 따라 공급업체는 즉각적으로 취약점 패치를 제공하고 조직의 위험을 즉시 줄이는 데 도움을 주기 위해 전용 보안 권고문 을 발행했습니다. 잠재적인 CVE 완화를 위한 조치로, Oracle은 공격의 심각성으로 인해 소프트웨어를 최신 버전으로 업그레이드할 것을 권장합니다. 추가로, 방어자는 악용에 노출될 가능성이 있는 네트워크 프로토콜을 차단하고 필요하지 않은 사용자 권한을 제한하여 위험을 경감할 수 있습니다.

공격이 발생하기 전에 예방하고 귀하의 조직의 사이버 보안 태세를 향상시키세요. SOC Prime의 완전한 제품군 을 통해 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 제공합니다.