Zagrożenia cybernetyczneNajlepsze praktyki w zakresie IT/cyberbezpieczeństwaLuki w zabezpieczeniach CVE firmy MicrosoftTech Aktualności

CVE-2024-48248: Krytyczna luka w NAKIVO Backup & Replication jest aktywnie wykorzystywana — natychmiast załataj

Badania ITFunk
Badania ITFunk

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) zidentyfikowała poważną lukę w zabezpieczeniach Oprogramowanie do tworzenia kopii zapasowych i replikacji NAKIVO, dodając go do swojego Katalog znanych luk w zabezpieczeniach (KEV) z powodu aktywnego wykorzystania przez aktorów zagrożeń. Ta podatność, CVE-2024-48248, jest wada bezwzględnego przechodzenia ścieżki co stwarza poważne ryzyko dla organizacji, które polegają na rozwiązaniu NAKIVO w zakresie tworzenia kopii zapasowych danych i odzyskiwania danych po awarii.

Spis treści

z Wynik CVSS 8.6, luka umożliwia nieautoryzowanym atakującym dostęp do poufnych plików systemowych i ich odczyt, co potencjalnie może prowadzić do kradzieży danych uwierzytelniających, naruszenia bezpieczeństwa systemu i głębszej infiltracji sieci. Pilna potrzeba załatania tej luki w zabezpieczeniach jest wysoka, biorąc pod uwagę, że Exploit typu proof-of-concept (PoC). jest już publicznie dostępny, co zwiększa prawdopodobieństwo szeroko zakrojonych ataków.

Zrozumienie CVE-2024-48248: Jak to działa

podatność na przekroczenie ścieżki absolutnej in Kopia zapasowa i replikacja NAKIVO oprogramowanie umożliwia atakującym ominięcie uwierzytelniania i pobranie krytycznych plików systemowych, takich jak:

  • /etc/shadow (zawiera zaszyfrowane hasła do kont użytkowników)
  • Pliki konfiguracyjne przechowujące poufne ustawienia kopii zapasowej
  • Pliki baz danych, w tym produkt01.h2.db, który przechowuje dane uwierzytelniające użytkownika

Wada jest taka, że eksploatowany poprzez /c/router Punkt końcowy, umożliwiając sprawcom zagrożeń przechodzenie przez katalogi i wyodrębnij pliki, które są zazwyczaj ograniczone. To zapewnia atakującym nieautoryzowany dostęp do przechowywanych kopii zapasowych danych uwierzytelniających i konfiguracji, co ułatwia im eskalację uprawnień i uzyskanie kontroli nad całymi środowiskami kopii zapasowych.

Wersje, których dotyczy problem

Usterka dotyczy wszystkie wersje NAKIVO Backup & Replication wcześniejsze niż 10.11.3.86570. Firma NAKIVO załatała już tę lukę w wersji 11.0.0.88174, wydany w w listopadzie 2024 roku.

Dlaczego ta podatność jest niebezpieczna

Wykorzystywanie CVE-2024-48248 pozwala złośliwym aktorom na eksfiltrować poświadczenia przechowywane w środowiskach kopii zapasowych, co może prowadzić do:

  1. Przejęcia systemów – Atakujący mogą wykorzystać skradzione dane uwierzytelniające do infiltracji innych podłączonych systemów.
  2. Wdrożenie oprogramowania ransomware – Złośliwi atakujący mogą szyfrować dane kopii zapasowej, co uniemożliwi ich odzyskanie bez zapłacenia okupu.
  3. Naruszenie danych – Poufne dane kopii zapasowych mogą zostać skradzione i wycieknąć.
  4. Ruch boczny – Sprawcy zagrożeń mogą wykorzystać naruszony serwer kopii zapasowych jako punkt zaczepienia umożliwiający dostęp do innych systemów w sieci.

Eksploatacja koncepcji dowodu (PoC) zwiększa ryzyko

Firma zajmująca się cyberbezpieczeństwem Laboratoria WatchTowr zgłosił, że a Wykorzystanie PoC dla CVE-2024-48248 został publicznie opublikowany pod adresem koniec lutego 2025 r, co znacznie ułatwia atakującym atakowanie niezałatanych systemów. Biorąc pod uwagę, że cyberprzestępcy często uzbroić publicznie dostępne exploity, organizacje korzystające ze starych wersji NAKIVO stanąć w obliczu bezpośredniego ryzyka kompromisu.

Jak złagodzić i naprawić CVE-2024-48248

1. Natychmiast zastosuj najnowszą poprawkę

NAKIVO wydało aktualizacja zabezpieczeń (wersja 11.0.0.88174) że całkowicie łagodzi podatność. Organizacje powinny:

  • Aktualizacja do wersji 11.0.0.88174 lub nowszej tak szybko, jak to możliwe.
  • Sprawdź, czy wszystkie serwery i urządzenia kopii zapasowych korzystają z najnowszej wersji.

2. Sprawdź, czy nie ma śladów eksploatacji

Jeśli w Twojej organizacji działa przestarzała wersja Kopia zapasowa i replikacja NAKIVO, sprawdź, czy nie ma oznak eksploatacji:

  • Nietypowe wpisy w dzienniku wskazujące na dostęp do poufnych plików
  • Nieoczekiwane modyfikacje konfiguracji kopii zapasowych
  • Podejrzane próby uwierzytelnienia lub nieautoryzowane rejestry dostępu
  • Oznaki kradzieży danych uwierzytelniających lub ruchu bocznego w sieci

3. Bezpieczne dane uwierzytelniające kopii zapasowej i kontrola dostępu

Ponieważ atakujący mogą wyłudzić dane uwierzytelniające z produkt01.h2.db, organizacje muszą:

  • Rotacja wszystkich haseł związanych z kopią zapasową natychmiast.
  • Używaj silnych, unikalnych danych uwierzytelniających dla środowisk kopii zapasowych.
  • Ogranicz dostęp do systemów kopii zapasowych tylko zaufanym administratorom.
  • Włącz uwierzytelnianie wieloskładnikowe (MFA) gdziekolwiek to możliwe.

4. Wdrażaj najlepsze praktyki bezpieczeństwa sieci

  • Ogranicz ekspozycję na Internet – Upewnij się, że serwery kopii zapasowych NAKIVO są nie bezpośrednio narażony z Internetem.
  • Reguły zapory – Zablokuj niepotrzebny dostęp do /c/punkt końcowy routera.
  • Monitoruj podejrzaną aktywność - Wprowadzić w życie Rozwiązania SIEM w celu wykrycia nieautoryzowanych prób dostępu.
  • Użyj rozwiązania Endpoint Detection and Response (EDR) – Zaawansowane narzędzia EDR mogą pomóc wykryj i zablokuj exploity wykorzystujące przemierzanie ścieżek.

5. Utwórz plan reagowania na incydenty

W przypadku podejrzenia nadużycia:

  • Odizoluj dotknięte systemy z sieci.
  • Przeprowadź analizę kryminalistyczną aby określić zakres kompromisu.
  • Odbuduj uszkodzone serwery z bezpiecznych, zweryfikowanych kopii zapasowych.
  • Zgłoś incydent do CISA i odpowiednich agencji zajmujących się cyberbezpieczeństwem.

Dodatkowe luki w katalogu KEV

Wzdłuż CVE-2024-48248CISA dodała dwie kolejne aktywnie wykorzystywane luki w zabezpieczeniach:

  1. CVE-2025-1316 (CVSS 9.3) – A krytyczna luka w zabezpieczeniach systemu operacyjnego polegająca na wstrzykiwaniu poleceń in Kamery IP Edimax IC-7100, umożliwiając atakującym wykonywanie dowolnych poleceń. Ten problem pozostaje niezałatany ponieważ urządzenie osiągnęło koniec życia.
  2. CVE-2017-12637 (CVSS 7.5) – A podatność na przechodzenie przez katalogi in SAP NetWeaver AS Java, umożliwiając atakującym odczyt dowolnych plików poprzez zmanipulowane ciągi zapytań.

godne uwagi, CVE-2025-1316 został wykorzystany przez cyberprzestępców do kompromis kamer Edimax i zintegrować je z Warianty botnetu Mirai ponieważ 2024 maja,.

Reakcja CISA i federalne wymogi łagodzące

W odpowiedzi na te rosnące zagrożenia, CISA nakazała że Agencje federalnej władzy wykonawczej cywilnej (FCEB) zastosować niezbędne poprawki zabezpieczeń do 9 kwietnia 2025 r. aby chronić swoje sieci.

Ostateczne rekomendacje

Z CVE-2024-48248 obecnie aktywnie eksploatowane organizacje trzeba działać szybko aby załatać dotknięte systemy. Opóźnienia w naprawie mogą prowadzić do:

  • Kradzież danych uwierzytelniających
  • Utrata danych
  • Ataki typu Ransomware
  • Całkowite naruszenie sieci

Aktualizowanie do NAKIVO Backup & Replication v11.0.0.88174 is najskuteczniejsze rozwiązanie aby zapobiec eksploatacji. Ponadto organizacje powinny wzmocnić kontrolę dostępu, monitorować podejrzaną aktywność i wdrażać najlepsze praktyki bezpieczeństwa, aby chronić środowiska kopii zapasowych przed przyszłymi zagrożeniami.

Biorąc Natychmiastowa akcja, firmy i agencje mogą chronić swoje krytyczne dane i infrastrukturę z tej podatności wysokiego ryzyka.

Cyberbezpieczeństwo dla Biznesu

Twoja firma stoi w obliczu stale ewoluujących cyberzagrożeń, które mogą zagrozić poufnym danym, zakłócić działanie i zaszkodzić Twojej reputacji. Nasze cyberbezpieczeństwo dla rozwiązań biznesowych są dostosowane do wyjątkowych wyzwań stojących przed firmami każdej wielkości, zapewniając solidną ochronę przed złośliwym oprogramowaniem, phishingiem, ransomware i innymi zagrożeniami.

Niezależnie od tego, czy jesteś małym startupem, czy dużym przedsiębiorstwem, oferujemy pakiety cyberbezpieczeństwa z wieloma licencjami, które zapewniają bezproblemową ochronę całego zespołu na wszystkich urządzeniach. Dzięki zaawansowanym funkcjom, takim jak monitorowanie zagrożeń w czasie rzeczywistym, bezpieczeństwo punktów końcowych i bezpieczne szyfrowanie danych, możesz skupić się na rozwijaniu swojej firmy, podczas gdy my zajmiemy się Twoimi potrzebami w zakresie bezpieczeństwa cyfrowego.

Uzyskaj bezpłatną wycenę już dziś! Zabezpiecz swoją firmę za pomocą niedrogich i skalowalnych rozwiązań. Skontaktuj się z nami już teraz, aby poprosić o bezpłatna wycena dla wielolicencjiowych pakietów cyberbezpieczeństwa zaprojektowanych tak, aby zapewnić bezpieczeństwo i zgodność Twojej firmy. Nie czekaj — chroń swoją firmę, zanim pojawią się zagrożenia!

Uzyskaj wycenę tutaj
Oszustwo związane z dodaną regułą przekazywania wiadomości e-mail
Oszustwo e-mailowe „Weryfikacja bezpieczeństwa: Potwierdź, że nie jesteś robotem”
Oszustwo związane z nagrodami za głosowanie w Firelight
Oszustwo e-mailowe podszywające się pod „Zespół inwestycyjny Elona Muska”
Trojan DebugElevator
OZNACZONE:
Udostępnij ten artykuł
Poprzedni artykuł Usuń Mamona Ransomware (HAes)
Następny artykuł Usuń wyskakujące okienka Curestin.co.in
Zostaw komentarz

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Przeskanuj swój system w poszukiwaniu złośliwego oprogramowania

Nie pozostawiaj swojego systemu bez ochrony. Pobierz SpyHunter dziś za darmo i przeskanuj swoje urządzenie pod kątem złośliwego oprogramowania, oszustw lub innych potencjalnych zagrożeń. Zachowaj ochronę!

Pobierz SpyHunter 5
✅ Dostępne bezpłatne skanowanie • ⭐ Natychmiastowe wykrywanie złośliwego oprogramowania

WARUNKI I USŁUGI