Detecção CVE-2024-29849: Uma Crítica Bypass de Autenticação no Veeam Backup Enterprise Manager

[post-views]
Junho 11, 2024 · 4 min de leitura
Detecção CVE-2024-29849: Uma Crítica Bypass de Autenticação no Veeam Backup Enterprise Manager

Mais um dia, mais uma ameaça no radar desafiando os defensores cibernéticos. Desta vez, o alerta de cibersegurança refere-se a uma falha nefasta identificada no Veem Backup Enterprise Manager (VBEM) que permite que adversários contornem a autenticação e obtenham acesso total à interface web da plataforma. Rastreada como CVE-2024-29849, a falha obteve uma pontuação CVSS de 9,8, representando uma ameaça crescente com o PoC lançado publicamente.

Detectar Explorações CVE-2024-29849

As estatísticas mais recentes revelam que mais de 18.000 vulnerabilidades já foram identificadas em 2024, marcando um aumento de 46% em comparação com este período do ano passado. Com a crescente quantidade de falhas sendo exploradas para ataques em circulação, os profissionais de segurança estão buscando uma fonte confiável de regras de deteção selecionadas e consultas de caça verificadas para se manter à frente dos adversários.

Usando a Plataforma da SOC Prime para defesa cibernética coletiva, os especialistas em segurança ganham acesso a um feed de regras global com os mais recentes algoritmos de deteção comportamental prontos para implantação disponíveis sob um SLA de 24 horas após a descoberta da ameaça. Para identificar possíveis atividades maliciosas vinculadas a tentativas de exploração do CVE-2024-29849, confira uma regra Sigma abaixo.

Possível Tentativa de Exploração CVE-2024-29849 (Veeam Backup Authentication Bypass) (via servidor web)

A deteção é compatível com mais de 30 soluções SIEM, EDR e Data Lake e mapeada para o MITRE ATT&CK® framework v14. Além disso, as deteções são enriquecidas com metadados extensos, incluindo referências de CTI e cronogramas de ataques, ajudando os pesquisadores de segurança a facilitar as investigações de ameaças.

Procurando por mais conteúdo de deteção que aborde o caso de uso de Deteção Proativa de Vulnerabilidades? Os defensores cibernéticos podem mergulhar em todo o conjunto de deteções voltado para a deteção de explorações de vulnerabilidades clicando no Explorar Deteções botão abaixo para aumentar a eficiência do SOC e proteger a infraestrutura organizacional.

Explorar Deteções

Análise do CVE-2024-29849

Uma falha crítica de segurança no VBEM (CVE-2024-29849) recentemente chamou a atenção. O fornecedor lançou um aviso, notificando os clientes sobre uma nova vulnerabilidade que permite que agentes de ameaça superem a proteção de autenticação após sua exploração bem-sucedida.

O fornecedor também revelou três outras falhas de segurança afetando o mesmo produto, incluindo o CVE-2024-29850, que pode levar a um comprometimento de conta via relé NTLM, o CVE-2024-29851, permitindo que um usuário com privilégios elevados roube hashes NTLM de uma conta de serviço do VBEM, a menos que seja configurado para rodar como a conta padrão do Sistema Local, e o CVE-2024-29852, permitindo que um usuário autorizado recupere logs de sessões de backup.

Anteriormente, adversários exploraram vulnerabilidades em produtos Veeam contra organizações nos EUA e na América Latina, particularmente CVE-2023-27532, uma falha de segurança no software Veeam Backup & Replication.

Desde que um PoC para o CVE-2024-29849 surgiu online, é imperativo que os administradores instalem prontamente os patches de segurança mais recentes. Para remediar os riscos de ataques armados, o fornecedor resolveu instantaneamente os patches na versão 12.1.2.172do VBEM. Para aqueles que não podem aplicar o patch para a versão VBEM acima mencionada, os defensores recomendam limitar o acesso à interface web do VBEM a endereços IP confiáveis, habilitar MFA e monitorar continuamente os logs de acesso para atividades suspeitas como medidas de mitigação temporárias para o CVE-2024-29849.

Como os riscos de ataques aproveitando vulnerabilidades conhecidas em produtos de software populares utilizados por empresas globais estão continuamente aumentando, os defensores estão buscando maneiras de levar a deteção proativa de ameaças para o próximo nível. Explore o Modelo de Licenciamento de Uso Justo para Empresas recém-lançado da SOC Primes para obter capacidades ilimitadas de deteção de ameaças e engenharia de deteção, sem limitações relacionadas ao desbloqueio de conteúdo, sem custo extra, ajudando sua organização a se defender proativamente contra ameaças emergentes e constantes.



Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko