Новости

Уязвимости 0-day VPN: атаки на Check Point

Вопреки утверждениям Check Point, серьезная 0-day VPN используется в атаках с апреля 2024 года. Злоумышленники похищают данные Active Directory для горизонтального перемещения по сетям жертв.

Check Point предупредила клиентов о том, что с 24 мая злоумышленники нацелены на их шлюзы безопасности, используя старые локальные учетные записи VPN с небезопасной аутентификацией по одному лишь паролю.

После этого компания обнаружила, что хакеры использовали уязвимость раскрытия информации (CVE-2024-24919) в этих атаках и выпустила срочные исправления для блокировки попыток эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Quantum Spark.

Однако специалисты Mnemonic утверждают, что попытки эксплуатации CVE-2024-24919 начались ещё 30 апреля в некоторых клиентских средах.

Check Point подчеркнула, что уязвимость особенно критична, так как её легко использовать удалённо без необходимости взаимодействовать с пользователем или иметь какие-либо привилегии на атакованных шлюзах безопасности Check Point с включённым удалённым доступом VPN и мобильным доступом.

Это позволяет злоумышленнику пересчитать и извлечь хэши паролей для всех локальных учетных записей, включая ту, что используется для подключения к Active Directory. Слабые пароли также могут быть скомпрометированы.

Полный масштаб последствий пока неизвестен.

Замечено, что злоумышленники извлекают ntds.dit, где хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, от скомпрометированных клиентов в течение 2–3 часов после входа в систему с помощью локального пользователя.

Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.

Mnemonic рекомендует клиентам Check Point немедленно обновить затронутые системы до фиксированной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности.

Администраторам также следует сменить пароли/учётные записи для подключений LDAP со шлюза в Active Directory, провести после исправления проверку журналов на наличие признаков компрометации и, если возможно, обновить сигнатуру Check Point IPS для обнаружения попыток эксплуатации.
Уязвимости