Check Point alerta para ataques zero-day
31 de Maio de 2024

A Check Point está alertando sobre uma vulnerabilidade zero-day em seus produtos de gateway de Segurança de Rede que atores de ameaças exploraram no mundo real.

Identificada como CVE-2024-24919 (pontuação CVSS: 7.5), a falha afeta o CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e dispositivos Quantum Spark.

"A vulnerabilidade permite potencialmente que um atacante leia certas informações em Gateways conectados à Internet com VPN de acesso remoto ou acesso móvel habilitado", disse a Check Point.

Hotfixes estão disponíveis nas seguintes versões:

-Quantum Security Gateway e CloudGuard Network Security Versions - R81.20, R81.10, R81, R80.40
-Quantum Maestro e Quantum Scalable Chassis - R81.20, R81.10, R80.40, R80.30SP, R80.20SP
-Versão Quantum Spark Gateways - R81.10.x, R80.20.x, R77.20.x

Este desenvolvimento ocorre dias depois de a empresa israelense de cibersegurança ter alertado sobre ataques direcionados aos seus dispositivos VPN para infiltrar redes empresariais.

"Até o dia 24 de maio de 2024, identificamos um pequeno número de tentativas de login usando contas locais antigas de VPN que dependem de um método de autenticação apenas com senha, o que não é recomendado", observou anteriormente nesta semana.

Isso agora foi rastreado até uma nova vulnerabilidade zero-day de alta gravidade descoberta em Security Gateways com IPSec VPN, Remote Access VPN e o software blade Mobile Access.

A Check Point não detalhou a natureza dos ataques, mas observou em um FAQ que as tentativas de exploração observadas até agora se concentram em "acesso remoto em contas locais antigas com autenticação apenas com senha não recomendada" contra um "pequeno número de clientes".

O direcionamento dos dispositivos VPN representa apenas a série mais recente de ataques visando aplicações de perímetro de rede, com intrusões semelhantes impactando dispositivos de Barracuda Networks, Cisco, Fortinet, Ivanti, Palo Alto Networks e VMware nos últimos anos.

"Os atacantes estão motivados a ganhar acesso às organizações por meio de configurações de acesso remoto para tentar descobrir ativos e usuários empresariais relevantes, buscando vulnerabilidades para obter persistência em ativos empresariais chave", disse a Check Point.

Tentativas de Exploração Detectadas Desde 30 de Abril de 2024
Em um aviso publicado na quarta-feira, a empresa de cibersegurança mnemonic disse que observou tentativas de exploração envolvendo CVE-2024-24919 e visando os ambientes de seus clientes desde 30 de abril de 2024.

"A vulnerabilidade é considerada crítica porque permite que atores não autorizados extraiam informações de gateways conectados à internet", disse a empresa.

A vulnerabilidade permite a um ator de ameaça enumerar e extrair hashes de senha para todas as contas locais, incluindo a conta usada para conectar ao Active Directory.
No entanto, sabe-se que os hashes de senha de usuários locais legados com autenticação apenas por senha podem ser extraídos, incluindo contas de serviço usadas para conectar ao Active Directory.

Senhas fracas podem ser comprometidas, levando a um uso indevido adicional e movimento lateral potencial dentro da rede. A empresa norueguesa descreveu ainda a falha como crítica e trivial de explorar, pois não requer interação ou privilégios do usuário.

Evidências reunidas até agora mostram que a vulnerabilidade também foi armamentizada para extrair dados do Active Directory (NTDS.dit) dentro de 2-3 horas após o login com um usuário local, permitindo subsequentemente que atores desconhecidos se movimentem lateralmente na rede e utilizem extensões de desenvolvimento remoto no Visual Studio (VS) Code para tunelar o tráfego de rede visando a evasão de detecção.

"O ator da ameaça usou aproximadamente três horas para executar sua cadeia de ataque", notou a mnemonic, acrescentando que a técnica tem sido usada em um "contexto de espionagem cibernética." (A história foi atualizada após a publicação para incluir detalhes das tentativas de exploração compartilhadas pela mnemonic.)

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...