CVE-2024-29849 탐지: Veeam 백업 엔터프라이즈 매니저의 치명적인 인증 우회

또 다른 하루, 또 다른 위협이 사이버 방어자를 도전하게 하고 있습니다. 이번에 사이버 보안 경고는 Veem Backup Enterprise Manager (VBEM) 전반에 걸쳐 식별된 악질적인 결함이 인증을 우회하고 플랫폼의 웹 인터페이스에 완전한 액세스를 허용하는 것과 관련되어 있습니다. CVE-2024-29849로 추적되는 이 버그는 9.8 CVSS 점수를 받았으며, PoC가 공개적으로 발표되면서 위협이 증가하고 있습니다.

CVE-2024-29849 익스플로잇 탐지

최신 통계 에 따르면 2024년에 이미 18,000개 이상의 취약점이 식별되었으며, 이는 작년 같은 시점과 비교하여 46% 증가한 수치입니다. 실제 공격에 무기화된 결함의 양이 증가함에 따라, 보안 전문가들은 적군을 앞서기 위해 신뢰할 수 있는 탐지 규칙과 검증된 검색 쿼리의 출처를 찾고 있습니다.

Using SOC Prime의 플랫폼을 사용하여 협력적 사이버 방어, 보안 전문가들은 위협 발견 후 24시간 SLA 내에 제공되는 최신의 즉시 배포 가능한 행동 탐지 알고리즘의 글로벌 규칙 피드에 액세스할 수 있습니다. CVE-2024-29849 익스플로잇 시도와 관련이 있을 수 있는 악의적 활동을 식별하기 위해 아래 Sigma 규칙을 확인하세요.

CVE-2024-29849 (Veeam 백업 인증 우회) 익스플로잇 시도 (웹 서버 통해)

탐지는 30+ SIEM, EDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크 v14에 매핑됩니다. 또한 탐지는 CTI 참조와 공격 타임라인을 포함한 광범위한 메타데이터로 풍부해져 보안 연구자들이 위협 조사를 원활하게 진행할 수 있도록 돕습니다.

Proactive Vulnerability Detection 사용 사례를 해결하는 추가 탐지 콘텐츠를 찾고 있습니까? 사이버 방어자는 취약점 익스플로잇 탐지를 지향하는 전체 탐지 스택에 대해 자세히 알아보려면 탐지 탐색 버튼을 눌러 SOC 효율성을 증대시키고 조직의 인프라를 보호할 수 있습니다.

탐지 탐색

CVE-2024-29849 분석

중요한 VBEM 보안 버그 (CVE-2024-29849)가 최근 뉴스에 올랐습니다. 공급업체는 권고안을 발표하고, 고객에게 성공적인 익스플로잇이 발생하면 인증 보호를 무력화하는 새로운 취약점에 대해 알렸습니다.

공급업체는 또한 동일한 제품에 영향을 미치는 세 가지 추가 보안 버그를 공개했으며, 여기에는 NTLM 릴레이를 통해 계정을 위험에 빠뜨릴 수 있는 CVE-2024-29850, 승격된 권한을 가진 사용자가 VBEM 서비스 계정의 NTLM 해시를 탈취할 수 있는 CVE-2024-29851이 포함되어 있습니다. 이는 기본 로컬 시스템 계정으로 실행되도록 설정되지 않은 경우에 해당합니다. 또한 CVE-2024-29852는 승인된 사용자가 백업 세션 로그를 검색할 수 있도록 허용합니다.

이전에 적군은 미국과 라틴 아메리카의 조직을 대상으로 한 Veeam 제품의 취약점을 무기화했으며, 특히 CVE-2023-27532, Veeam 백업 및 복제 소프트웨어의 보안 버그를 사용했습니다.

이후 CVE-2024-29849에 대한 PoC가 온라인에 등장하면서, 관리자는 최신 보안 패치를 즉시 설치하는 것이 필수적입니다. 무기화된 공격의 위험을 완화하기 위해 공급업체는 VBEM 버전 12.1.2.172에서 패치를 즉시 처리했습니다. 위에서 언급한 VBEM 버전으로 패치할 수 없는 경우, 방어자는 신뢰할 수 있는 IP 주소로 VBEM 웹 인터페이스의 접근을 제한하고 MFA를 활성화하며 의심스러운 활동 여부를 지속적으로 추적하여 CVE-2024-29849의 임시 완화 조치를 권장합니다.

전 세계 기업에 의해 활용되는 인기 소프트웨어 제품에 대한 알려진 취약점이 무기화된 공격의 위험이 지속적으로 증가하기 때문에, 방어자들은 프로액티브 위협 탐지를 한 단계 더 발전시키기 위한 방법을 찾고 있습니다. 탐구해보세요 SOC Primes의 새롭게 출시된 Enterprise Fair Use Licensing Model 을 통해 무제한 위협 탐지 및 탐지 엔지니어링 기능을 추가 비용 없이 내용 잠금 해제와 관련된 제한 없이 제공하여, 귀하의 조직이 신흥 및 지속적인 위협에 대해 사전적으로 방어할 수 있도록 돕습니다.