A Check Point está alertando sobre uma vulnerabilidade zero-day em seus produtos de gateway de segurança de rede que atores ameaçados exploraram no mundo real.
Rastreado como CVE-2024-24919 (pontuação CVSS: 7,5), o problema afeta a rede CloudGuard, Quantum Maestro, chassis Quantum escalável, gateways de segurança Quantum e dispositivos Quantum Spark.
“A vulnerabilidade potencialmente permite que um invasor leia certas informações em Gateways conectados à Internet com acesso remoto VPN ou acesso móvel ativado”, disse a Check Point.
As correções estão disponíveis nas seguintes versões –
Gateway de segurança Quantum e CloudGuard Network Security – R81.20, R81.10, R81, R80.40
Maestro Quantum e chassis escalável Quantum – R81.20, R81.10, R80.40, R80.30SP, R80.20SP
Gateways Quantum Spark Version – R81.10.x, R80.20.x, R77.20.x
O desenvolvimento vem dias após a empresa israelense de cibersegurança alertar sobre ataques direcionados a seus dispositivos VPN para infiltrar em redes empresariais.
“Até 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais VPN antigas que dependem do método de autenticação exclusivamente com senha não recomendado”, observou a empresa no início desta semana.
Isso agora foi rastreado até um novo zero-day de alta gravidade descoberto nos Gateways de Segurança com IPSec VPN, VPN de Acesso Remoto e blade de software de Acesso Móvel.
A Check Point não elaborou sobre a natureza dos ataques, mas em um FAQ observou que as tentativas de exploração observadas até agora se concentram “em acesso remoto em contas locais antigas com autenticação exclusivamente com senha não recomendada” contra “um pequeno número de clientes”.
Os ataques direcionados a dispositivos VPN representam apenas a série mais recente de ataques contra aplicativos de perímetro de rede, com intrusões semelhantes impactando dispositivos de empresas como Barracuda Networks, Cisco, Fortinet, Ivanti, Palo Alto Networks e VMware nos últimos anos.
“Atacantes são motivados a obter acesso a organizações por meio de configurações de acesso remoto para tentar descobrir ativos e usuários empresariais relevantes, procurando vulnerabilidades para ganhar persistência em ativos empresariais-chave”, disse a Check Point.
Tentativas de exploração detectadas desde 30 de abril de 2024
Em um alerta publicado na quarta-feira, a empresa de cibersegurança mnemonic disse que observou tentativas de exploração envolvendo CVE-2024-24919 e mirando ambientes de clientes desde 30 de abril de 2024.
“A vulnerabilidade é considerada crítica porque permite que atores não autorizados extraiam informações de gateways conectados à Internet”, disse a empresa. “A vulnerabilidade permite que um ator ameaçador enumere e extraia hashes de senha de todas as contas locais, incluindo a conta usada para se conectar ao Active Directory.”
“Porém, sabe-se que hashes de senha de usuários locais herdados com autenticação exclusivamente com senha podem ser extraídos, incluindo contas de serviço usadas para se conectar ao Active Directory. Senhas fracas podem ser comprometidas, levando a um uso indevido adicional e a possíveis movimentos laterais dentro da rede.”
A empresa norueguesa descreveu ainda a falha como crítica e trivial de explorar devido ao fato de não requerer interação ou privilégios de usuário.
As evidências reunidas até agora mostram que a vulnerabilidade também foi armada para extrair dados do Active Directory (NTDS.dit) dentro de 2-3 horas após o login com um usuário local, permitindo posteriormente que atores desconhecidos se movam lateralmente na rede e usem extensões de desenvolvimento remoto no Visual Studio (VS) Code para trafegar o tráfego de rede para evasão de detecção.
O ator ameaçador levou aproximadamente três horas para executar sua cadeia de ataque.EncodingException,
Mnemonic observou, acrescentando que a técnica foi usada em um “contexto de ciberepionagem”.