Ransomware operators exploited Veeam Backup & Replication flaw CVE-2024-40711 in recent attacks
- Veeam Backup & Replication 취약점 악용
- Sophos는 랜섬웨어 운영자들이 Veeam Backup & Replication의 치명적 원격 코드 실행(RCE) 취약점(CVE-2024-40711)을 악용하고 있다고 경고
- 이 취약점으로 인해 인증되지 않은 원격 코드 실행이 가능하며, 공격자는 이를 통해 악성 계정을 생성하고 악성코드를 배포
- 취약점 개요
- Veeam은 2024년 9월 보안 업데이트를 통해 여러 제품의 고위험 및 치명적 취약점을 수정했으며, 그중 가장 심각한 취약점이 CVE-2024-40711
- 이 취약점은 Veeam Backup & Replication 12.1.2.172 및 이전 버전에 영향을 미침
- CODE WHITE GmbH의 Florian Hauser 연구자가 이 취약점을 보고
- 공격자 활동
- Sophos X-Ops 연구팀은 최근 이 취약점과 피해자의 VPN 게이트웨이를 이용해 Fog 및 Akira 랜섬웨어를 배포하는 공격을 관찰
- 공격자들은 멀티팩터 인증(MFA)을 활성화하지 않은 VPN 게이트웨이를 통해 초기 접근, 이후 Veeam의 취약 URI(/trigger, 포트 8000)를 이용해 로컬 계정을 생성하고 이를 관리자 그룹에 추가
- Fog 랜섬웨어는 보호되지 않은 Hyper-V 서버에 배포되었으며, 데이터 유출에는 rclone 도구 사용
- 방어 조치 권장사항
- 취약점 패치: 알려진 취약점에 대해 신속한 패치 적용
- MFA 활성화: 원격 접근 시 멀티팩터 인증을 필수로 적용해 보안 강화
- VPN 소프트웨어 업데이트: 지원 종료된 VPN 소프트웨어를 최신 버전으로 업데이트하거나 교체
'Kant's IT > Vulnerability' 카테고리의 다른 글
Palo Alto PAN-OS 방화벽 취약점 패치 (0) | 2024.11.17 |
---|---|
CISA, Ivanti CSA 및 Fortinet 취약점 보안권고 (1) | 2024.11.17 |
아키라와 포그 랜섬웨어 그룹의 Veeam Backup & Replication 취약점 악용 (0) | 2024.11.17 |
산업용 MMS 프로토콜 라이브러리에서 발견된 주요 보안 취약점 (0) | 2024.11.11 |
PDF 리더 및 GNOME 프로젝트의 보안 취약점 요약 (0) | 2024.11.11 |