A atividade de exploração visando uma falha recente de divulgação de informações na tecnologia VPN da Check Point disparou nos últimos dias, aumentando a necessidade das organizações corrigirem a falha imediatamente.
A vulnerabilidade, identificada como CVE-2024-24919, afeta o software em várias versões das soluções CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark da Check Point. Todos os produtos afetados são gateways de segurança da Check Point com funcionalidade de VPN IPsec.
A Check Point alertou sobre a vulnerabilidade que permite que os atacantes acessem informações sensíveis nos gateways de segurança e, em alguns casos, possam movimentar-se lateralmente em uma rede comprometida e obter privilégios de administrador de domínio. O fornecedor de segurança divulgou a vulnerabilidade em 28 de maio, juntamente com uma correção para ela, em meio a relatos de tentativas ativas de exploração. A Check Point identificou a atividade de exploração como tendo começado no início de abril, quase dois meses antes da divulgação.
Em um relatório divulgado nesta semana, a empresa de escaneamento de tráfego na internet, Greynoise, afirmou ter detectado um aumento acentuado nas tentativas de exploração direcionadas à CVE-2024-24919 desde 31 de maio, ou pouco depois de um prova de conceito para a falha se tornar publicamente disponível. De acordo com a Greynoise, as tentativas iniciais de explorar a vulnerabilidade na verdade começaram um dia antes a partir de um endereço IP sediado em Taiwan, mas essas tentativas envolviam um exploit não funcional.
A primeira tentativa real de exploração teve origem em um endereço IP de Nova York. Até 5 de junho, a Greynoise detectou até 782 IPs de todo o mundo visando a vulnerabilidade. “Com um prova de conceito público disponível, e a exploração aumentando rapidamente, recomendamos corrigir o Check Point o mais rápido possível,” aconselhou a Greynoise.
Um escaneamento da Censys no início desta semana identificou cerca de 13.754 sistemas expostos à internet com pelo menos um dos três produtos de software que a Check Point identificou como afetados pela CVE-2024-24919. Cerca de 12.100 dos hosts expostos eram dispositivos da Check Point Quantum Spark gateway, cerca de 1.500 eram Quantum Security Gateways e cerca de 137 eram appliances Check Point CloudGuard. Mais de 6.000 dos hosts expostos à internet estavam localizados no Japão. Outros países com uma concentração relativamente alta de appliances da Check Point expostos incluíam Itália (1.012), EUA (917) e Israel (845).
Na época do escaneamento da Censys, menos de 2% dos gateways da Check Point Quantum Spark expostos à internet pareciam estar executando uma versão corrigida do software afetado.
Pesquisadores da WatchTowr que analisaram a falha da Check Point a descreveram como não muito difícil de encontrar e “extremamente fácil de explorar.” A Check Point atribuiu à falha uma classificação de severidade de 8.6 de 10 na escala CVSS e descreveu os exploits direcionados a ela como envolvendo baixa complexidade, nenhuma interação do usuário e nenhum privilégio especial do usuário.
A Agência de Segurança Cibernética e de Informações dos EUA (CISA) adicionou a CVE-2024-24919 ao seu catálogo de vulnerabilidades conhecidas exploradas. Todas as agências civis do Poder Executivo federal têm até 20 de junho para aplicar as mitigações recomendadas pela Check Point para a falha ou interromper o uso dos produtos afetados até que a resolvam. No passado, a CISA e outras organizações como o FBI e a NSA alertaram repetidamente sobre as vulnerabilidades em VPNs e outras tecnologias de acesso seguro apresentando alto risco às organizações devido à extensão em que os atacantes têm visado essas falhas nos últimos anos.
A Check Point recomendou que as organizações afetadas instalem suas últimas Jumbo Hotfix Accumulators para lidar com a vulnerabilidade de segurança. As organizações que não podem implementar imediatamente o Jumbo Hotfix Accumulator – basicamente um pacote que contém correções para vários problemas em vários produtos – devem instalar o hotfix de segurança para a CVE-2024-24919, observou a Check Point.
As organizações devem instalar o hotfix em qualquer gateway e cluster de segurança afetados nos quais o recurso Blade de Software VPN IPsec esteja ativado como parte da Comunidade VPN de Acesso Remoto, ou quando o recurso Blade de Software de Acesso Móvel estiver ativado, de acordo com o fornecedor de segurança.
“Esta é uma vulnerabilidade crítica que está sendo ativamente explorada na natureza,” alertou a Censys. No entanto, a empresa observou também alguns fatores atenuantes. Por um lado, a vulnerabilidade afeta apenas gateways com certas configurações. Além disso, “a exploração bem-sucedida não significa necessariamente comprometimento total do dispositivo; outras circunstâncias precisam estar presentes, como a presença de arquivos de senha expostos no sistema de arquivos local do seu dispositivo.”
