Kant's IT/Vulnerability

랜섬웨어 운영자, Veeam 백업 및 복구 취약점 CVE-2024-40711 악용

Kant Jo 2024. 11. 17. 19:46

Ransomware operators exploited Veeam Backup & Replication flaw CVE-2024-40711 in recent attacks

 

Ransomware operators exploited Veeam Backup & Replication flaw CVE-2024-40711 in recent attacks

Sophos reports ransomware operators are exploiting a critical code execution flaw in Veeam Backup & Replication.

securityaffairs.com

 

  • Veeam Backup & Replication 취약점 악용
    • Sophos랜섬웨어 운영자들이 Veeam Backup & Replication의 치명적 원격 코드 실행(RCE) 취약점(CVE-2024-40711)을 악용하고 있다고 경고
    • 이 취약점으로 인해 인증되지 않은 원격 코드 실행이 가능하며, 공격자는 이를 통해 악성 계정을 생성하고 악성코드를 배포
  • 취약점 개요
    • Veeam은 2024년 9월 보안 업데이트를 통해 여러 제품의 고위험 및 치명적 취약점을 수정했으며, 그중 가장 심각한 취약점이 CVE-2024-40711
    • 이 취약점은 Veeam Backup & Replication 12.1.2.172이전 버전에 영향을 미침
    • CODE WHITE GmbHFlorian Hauser 연구자가 이 취약점을 보고
  • 공격자 활동
    • Sophos X-Ops 연구팀은 최근 이 취약점과 피해자의 VPN 게이트웨이를 이용해 FogAkira 랜섬웨어를 배포하는 공격을 관찰
    • 공격자들은 멀티팩터 인증(MFA)을 활성화하지 않은 VPN 게이트웨이를 통해 초기 접근, 이후 Veeam의 취약 URI(/trigger, 포트 8000)를 이용해 로컬 계정을 생성하고 이를 관리자 그룹에 추가
    • Fog 랜섬웨어보호되지 않은 Hyper-V 서버에 배포되었으며, 데이터 유출에는 rclone 도구 사용
  • 방어 조치 권장사항
    • 취약점 패치: 알려진 취약점에 대해 신속한 패치 적용
    • MFA 활성화: 원격 접근 시 멀티팩터 인증을 필수로 적용해 보안 강화
    • VPN 소프트웨어 업데이트: 지원 종료된 VPN 소프트웨어를 최신 버전으로 업데이트하거나 교체