Check Point está alertando sobre uma vulnerabilidade zero-day em seus produtos de gateway de segurança de rede que atores de ameaças exploraram no ambiente selvagem. Rastreado como CVE-2024-24919 (CVSS score: 7.5), o problema impacta o CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark appliances. “A vulnerabilidade potencialmente permite que um atacante leia determinadas informações em Gateways conectados à Internet com VPN de acesso remoto ou acesso móvel habilitado”, disse a Check Point. As correções estão disponíveis nas seguintes versões – Quantum Security Gateway e CloudGuard Network Security Versions – R81.20, R81.10, R81, R80.40; Quantum Maestro e Quantum Scalable Chassis – R81.20, R81.10, R80.40, R80.30SP, R80.20SP; Quantum Spark Gateways Version – R81.10.x, R80.20.x, R77.20.x. O desenvolvimento vem dias depois que a empresa israelense de cibersegurança alertou para ataques direcionados a seus dispositivos VPN para infiltrar redes corporativas. “Até 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais VPN antigas que dependem do método de autenticação apenas por senha não recomendado”, observou a empresa no início desta semana. Isso agora foi rastreado até uma nova vulnerabilidade zero-day de alta severidade descoberta em Gateways de Segurança com VPN IPSec, VPN de Acesso Remoto e o software blade Mobile Access. Check Point não elaborou sobre a natureza dos ataques, mas observou em um FAQ que as tentativas de exploração observadas até agora se concentram “em acesso remoto em contas locais antigas com autenticação apenas por senha não recomendada” contra um “pequeno número de clientes.” A segmentação de dispositivos VPN representa apenas a série mais recente de ataques a aplicativos de perímetro de rede, com intrusões semelhantes impactando dispositivos de empresas como Barracuda Networks, Cisco, Fortinet, Ivanti, Palo Alto Networks e VMware nos últimos anos. “Os atacantes são motivados a obter acesso a organizações por meio de setups de acesso remoto para tentar descobrir ativos e usuários empresariais relevantes, procurando vulnerabilidades para conseguir persistência em ativos empresariais-chave”, disse a Check Point. Tentativas de exploração detectadas desde 30 de abril de 2024 – A empresa de cibersegurança mnemonic observou tentativas de exploração envolvendo CVE-2024-24919 e direcionando seus ambientes de clientes desde 30 de abril de 2024. “A vulnerabilidade é considerada crítica porque permite que atores não autorizados extraiam informações de gateways conectados à Internet”, disse a empresa. “A vulnerabilidade permite que um ator de ameaça enumere e extraia hashes de senha de todas as contas locais, incluindo a conta usada para se conectar ao Active Directory”. No texto anteriormente publicado, a empresa afirmou que evidências apontam que a vulnerabilidade também foi armada para extrair dados do Active Directory (NTDS.dit) dentro de 2-3 horas após o login com um usuário local, permitindo que atores desconhecidos se movam lateralmente na rede e façam mau uso de extensões de desenvolvimento remoto no Visual Studio (VS) Code para tunelar o tráfego de rede para evasão de detecção. “O ator de ameaça levou aproximadamente três horas para executar sua cadeia de ataque”, observou a mnemonic, acrescentando que a técnica foi utilizada em um “contexto de espionagem cibernética”.