SK-CERT Bezpečnostné varovanie V20240530-01

Dôležitosť	Vysoká
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	8.4

Identifikátor

Check Point Security Gateway produkty – aktívne zneužívaná zero-day zraniteľnosť

Popis

Spoločnosť Check Point varovala svojich zákazníkov pred útokmi na Security Gateway produkty, ktorých cieľom je získanie neoprávneného prístupu do chránených VPN sietí. Na základe informácií zverejnených bezpečnostními výskumníkmi útok začína zneužitím bezpečnostnej zraniteľnosti CVE-2024-24919 na enumeráciu a extrakciu hash-ov hesiel lokálnych používateľských účtov, vrátane účtov používaných na prihlasovanie do Active Directory. Heslá lokálnych účtov s password-only autentifikáciou získané týmto spôsobom sú následne zneužité na získanie neoprávneného prístupu do systému, laterálny pohyb po sieti a ďalšiu škodlivú činnosť. Uvedená kampaň prebieha minimálne od 30. apríla 2024. Bezpečnostná zraniteľnosť s označením CVE-2024-24919 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej POST požiadavky získať neoprávnený prístup k citlivým údajom, vrátane obsahu /etc/shadow a privátnych SSH kľúčov. Jedná sa o aktívne zneužívanú zraniteľnosť, na ktorú je v súčasnosti voľne dostupný Proof-of-Concept kód.

Dátum prvého zverejnenia varovania

27.5.2024

CVE

CVE-2024-24919

IOC

82.180.133[.]120 (IP adresa asociovaná so skenovaním) 23.227.203[.]36 (IP adresa asociovaná s pokusmi o zneužitie zraniteľnosti) 87.120.8[.]173 (IP adresa asociovaná s pokusmi o zneužitie zraniteľnosti) 203.160.68[.]12 (IP adresa asociovaná s pokusmi o zneužitie zraniteľnosti)

Zasiahnuté systémy

Quantum Security Gateway R81.20, R81.10, R81, R80.40 bez inštalovaného Hotfix CloudGuard Network Security R81.20, R81.10, R81, R80.40 bez inštalovaného Hotfix Quantum Maestro R80.30SP, R80.20SP bez inštalovaného Hotfix Quantum Scalable Chassis R80.30SP, R80.20SP bez inštalovaného Hotfix Quantum Spark Gateways R81.10.x, R80.20.x, R77.20.x bez inštalovaného Hotfix Zraniteľnosť je možné zneužiť na systémoch, ktoré spĺňajú jednu z podmienok: 1. IPsec VPN Blade je aktivovaná a zariadenia je zároveň zapojené do Remote Access VPN komunity 2. Mobile Access Software Blade je aktivovaná

Následky

Neoprávnený prístup k citlivým údajom Neoprávnený prístup do systému

Odporúčania

Administrátorom a používateľom odporúčame: – vykonať bezodkladnú aktualizáciu zasiahnutých systémov – aplikovať dodatočné odporúčania výrobcu na zvýšenie zabezpečenia VPN zariadení – vykonať zmenu prihlasovacích údajov lokálnych používateľských účtov – vykonať analýzu logov predmetných zariadení, sieťových a bezpečnostných prvkov za účelom identifikácie pokusov o zneužitie zraniteľnosti a prítomnosti IOC Detailné inštrukcie môžete nájsť na webovej stránke výrobcu: https://support.checkpoint.com/results/sk/sk182336 Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://blog.checkpoint.com/security/enhance-your-vpn-security-posture?campaign=checkpoint&eid=guvrs&advisory=1 https://sc1.checkpoint.com/documents/R81.20/WebAdminGuides/EN/CP_R81.20_RemoteAccessVPN_AdminGuide/Content/Topics-VPNRG/User-and-Client-Authentication.htm?TocPath=User%20and%20Client%20Authentication%20for%20Remote%20Access%7C_____2#Multiple_Login_Options_for_R80.xx_Gateways https://support.checkpoint.com/results/sk/sk182336 https://www.bleepingcomputer.com/news/security/hackers-target-check-point-vpns-to-breach-enterprise-networks/ https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/ https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/ https://www.tenable.com/cve/CVE-2024-24919

« Späť na zoznam