A atividade de exploração visando uma recente falha de divulgação de informações na tecnologia VPN da Check Point disparou nos últimos dias, aumentando a necessidade das organizações resolverem a falha imediatamente.
A vulnerabilidade, identificada como CVE-2024-24919 , afeta software em várias versões dos dispositivos CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark da Check Point. Todos os produtos afetados são gateways de segurança Check Point com funcionalidade VPN IPsec.
A Check Point alertou sobre a vulnerabilidade que permite aos invasores acessar informações confidenciais nos gateways de segurança que, em alguns casos, podem permitir que se movam lateralmente em uma rede comprometida e obtenham privilégios de administrador de domínio. O fornecedor de segurança divulgou a vulnerabilidade em 28 de maio – junto com um hotfix para ela – em meio a relatos de tentativas ativas de exploração. A Check Point identificou que a atividade de exploração começou no início de abril, quase dois meses antes da divulgação.
Em um relatório divulgado esta semana, a empresa de varredura de tráfego de Internet Greynoise disse que detectou um rápido aumento nas tentativas de exploração direcionadas ao CVE-2024-24919 desde 31 de maio, ou logo após uma prova de conceito da falha ter sido disponibilizada publicamente. De acordo com Greynoise, as tentativas iniciais de atacar a vulnerabilidade começaram, na verdade, um dia antes a partir de um endereço IP baseado em Taiwan, mas envolveram uma exploração que não funcionava.
A primeira tentativa real de exploração originou-se de um endereço IP baseado em Nova York. Até 5 de junho, a Greynoise detectou até 782 IPs de todo o mundo visando a vulnerabilidade. “Com uma prova pública de conceito lançada e a exploração aumentando rapidamente, recomendamos corrigir o Check Point o mais rápido possível”, aconselhou Greynoise.
Uma varredura do Censys no início desta semana identificou cerca de 13.754 sistemas expostos à Internet executando pelo menos um dos três produtos de software que a Check Point identificou como afetados pelo CVE-2024-24919. Cerca de 12.100 dos hosts expostos eram dispositivos de gateway Check Point Quantum Spark, cerca de 1.500 eram Quantum Security Gateways e cerca de 137 eram dispositivos Check Point CloudGuard. Mais de 6.000 dos hosts expostos à Internet estavam localizados no Japão. Outros países com uma concentração relativamente elevada de aparelhos Check Point expostos incluíram a Itália (1.012), os EUA (917) e Israel (845).
No momento da varredura do Censys, menos de 2% dos gateways Check Point Quantum Spark expostos à Internet pareciam estar executando uma versão corrigida do software afetado.
Os pesquisadores da WatchTowr que analisaram a falha da Check Point a descreveram como não muito difícil de encontrar e ” extremamente fácil de explorar “. A Check Point atribuiu à falha uma classificação de gravidade de 8,6 em 10 na escala CVSS e descreveu as explorações direcionadas a ela como envolvendo baixa complexidade, sem interação do usuário e sem privilégios especiais de usuário.
A Agência de Segurança Cibernética e de Informação dos EUA (CISA) adicionou CVE-2024-24919 ao seu catálogo de vulnerabilidades exploradas conhecidas . Todas as agências federais do poder executivo civil têm até 20 de junho para aplicar as mitigações recomendadas pela Check Point para a falha ou descontinuar o uso dos produtos afetados até que a correção seja corrigida. No passado, a CISA e outras organizações, como o FBI e a NSA, alertaram repetidamente sobre vulnerabilidades em VPNs e outras tecnologias de acesso seguro como apresentando um elevado risco para as organizações devido à medida em que os atacantes atacaram estas falhas nos últimos anos.
A Check Point recomendou que as organizações afetadas instalem seus acumuladores Jumbo Hotfix mais recentes para resolver a vulnerabilidade de segurança. As organizações que não podem implantar imediatamente o Jumbo Hotfix Accumulator – basicamente um pacote que contém correções para vários problemas em vários produtos – devem instalar o hotfix de segurança para CVE-2024-24919, observou a Check Point.
As organizações devem instalar o hotfix em qualquer gateway e cluster de segurança afetado onde o recurso IPSec VPN Software Blade esteja habilitado como parte da comunidade VPN de acesso remoto ou quando o recurso Mobile Access Software Blade estiver habilitado, de acordo com o fornecedor de segurança.
“Esta é uma vulnerabilidade crítica que está sendo explorada ativamente”, alertou Censys. No entanto, também existem alguns fatores atenuantes, observou a empresa. Por um lado, a vulnerabilidade afeta apenas gateways com determinadas configurações. Além disso, “a exploração bem-sucedida não significa necessariamente o comprometimento total do dispositivo; outras circunstâncias precisam ser implementadas, como a presença de arquivos de senha expostos no sistema de arquivos local do seu dispositivo”.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…