CVE-2024-40711 Veeam 취약점: 랜섬웨어 공격과 보안 대응 방법

최근 Veeam Backup & Replication에서 발견된 CVE-2024-40711 취약점이 사이버 공격에 악용되며 많은 주목을 받고 있습니다. 이 글에서는 해당 취약점이 무엇인지, 공격자들이 이를 어떻게 활용하고 있는지, 그리고 여러분이 시스템을 어떻게 보호할 수 있는지에 대해 설명드리겠습니다. 이 정보를 통해 최신 사이버 위협에 대비하고, 시스템 보안을 강화할 수 있을 것입니다.

 

 

목차

• CVE-2024-40711이란?
• 공격 방법: Veeam 취약점 악용
  • 구체적인 공격 사례
• 사이버 보안 경고: 기업을 노리는 랜섬웨어
• 결론: 즉각적인 행동이 필요합니다

CVE-2024-40711이란?

CVE-2024-40711은 Veeam Backup & Replication 소프트웨어에서 발견된 심각도 점수 9.8/10 (CVSS 기준)의 치명적인 취약점입니다. 이 문제는 인증되지 않은 사용자가 원격에서 코드 실행을 할 수 있도록 허용하며, 이를 통해 공격자는 시스템에 침입할 수 있습니다. 공격자는 이 취약점을 악용해 로컬 계정을 생성하고, 이를 통해 데이터 탈취나 랜섬웨어 배포와 같은 악의적인 행위를 할 수 있습니다.

 

이러한 취약점을 인식하고 즉각적인 대응을 하지 않으면, 기업의 중요한 데이터와 시스템이 심각한 위협에 노출될 수 있으며, 이는 잠재적인 금융 손실이나 기업 평판의 손상을 초래할 수 있습니다.

반응형

공격 방법: Veeam 취약점 악용

Sophos 보안 연구진은 최근 공격자들이 VPN 로그인 정보를 피싱이나 브루트 포스 공격을 통해 탈취한 후, 취약점을 통해 Veeam의 특정 URI에 접근하여 네트워크 명령을 실행한다고 밝혔습니다. 이 과정에서 공격자는 로컬 계정인 'point'를 생성하고, Administrators와 Remote Desktop Users 그룹에 추가하여 관리자 권한을 확보하게 됩니다.

 

구체적인 공격 사례

• Akira와 Fog 랜섬웨어 배포: 공격자는 'Fog' 랜섬웨어를 Hyper-V 서버에 배포하였으며, 이를 통해 데이터를 탈취하기 위해 rclone 유틸리티를 사용했습니다.
• 타겟: 이 공격은 주로 멀티팩터 인증(MFA)이 비활성화된 VPN 접근 방식을 통해 이루어졌습니다.

사이버 보안 경고: 기업을 노리는 랜섬웨어

이번 취약점의 악용은 영국 NHS에서도 경고한 바 있습니다. NHS는 CVE-2024-40711 취약점이 랜섬웨어 그룹에 의해 적극적으로 악용되고 있으며, 이로 인해 백업 및 재해 복구 시스템이 심각한 위험에 처할 수 있다고 경고했습니다. 특히, NHS는 즉각적인 패치 적용과 보안 강화를 강력히 권고하고 있습니다.

 

기업의 백업 및 재해 복구 시스템이 사이버 위협 집단의 주요 타겟이 되고 있다는 점에서, 이러한 시스템의 보안을 더욱 강화할 필요가 있습니다. 특히, 랜섬웨어 공격이 점점 더 진화하고 있다는 점도 주목해야 합니다. 최근 등장한 Lynx 랜섬웨어는 기존 랜섬웨어의 소스 코드를 재패키지한 변종으로, 보다 정교하고 치명적인 공격을 가능하게 합니다.

결론: 즉각적인 행동이 필요합니다

CVE-2024-40711 취약점과 이를 악용한 랜섬웨어 공격은 매우 심각한 문제입니다. 이에 대응하기 위해 여러분이 즉시 취할 수 있는 몇 가지 중요한 조치를 소개합니다:

1. 시스템 업데이트: Veeam을 포함한 모든 소프트웨어를 최신 버전으로 유지하세요.
2. VPN 보안 강화: 멀티팩터 인증(MFA)을 활성화하고, 더 이상 지원되지 않는 소프트웨어는 사용을 중단하세요.
3. 보안 교육: 직원들에게 랜섬웨어와 같은 사이버 공격의 위험성을 교육하고, 관련 대응책을 마련하세요.

이 글을 통해 여러분이 사이버 보안에 대한 인식을 높이고, 실질적인 조치를 취할 수 있기를 바랍니다. 더 궁금한 점이 있다면 언제든지 댓글로 문의해 주세요!

 

감사합니다!