Вопреки утверждениям Check Point, серьезная 0-day VPN используется в атаках с апреля 2024 года. Злоумышленники похищают данные Active Directory для горизонтального перемещения по сетям жертв.
Check Point предупредила клиентов о том, что с 24 мая злоумышленники нацелены на их шлюзы безопасности, используя старые локальные учетные записи VPN с небезопасной аутентификацией по одному лишь паролю.
После этого компания обнаружила, что хакеры использовали уязвимость раскрытия информации (CVE-2024-24919) в этих атаках и выпустила срочные исправления для блокировки попыток эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Quantum Spark.
Однако специалисты Mnemonic утверждают, что попытки эксплуатации CVE-2024-24919 начались ещё 30 апреля в некоторых клиентских средах.
Check Point подчеркнула, что уязвимость особенно критична, так как её легко использовать удалённо без необходимости взаимодействовать с пользователем или иметь какие-либо привилегии на атакованных шлюзах безопасности Check Point с включённым удалённым доступом VPN и мобильным доступом.
Это позволяет злоумышленнику пересчитать и извлечь хэши паролей для всех локальных учетных записей, включая ту, что используется для подключения к Active Directory. Слабые пароли также могут быть скомпрометированы.
Полный масштаб последствий пока неизвестен.
Замечено, что злоумышленники извлекают ntds.dit, где хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, от скомпрометированных клиентов в течение 2–3 часов после входа в систему с помощью локального пользователя.
Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.
Mnemonic рекомендует клиентам Check Point немедленно обновить затронутые системы до фиксированной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности.
Администраторам также следует сменить пароли/учётные записи для подключений LDAP со шлюза в Active Directory, провести после исправления проверку журналов на наличие признаков компрометации и, если возможно, обновить сигнатуру Check Point IPS для обнаружения попыток эксплуатации.