Ataques em alta devido à recente falha 0day na VPN CheckPoint
Uma empresa de monitoramento detectou tentativas de exploração direcionadas ao CVE-2024-24919 de mais de 780 endereços IP exclusivos na semana passada.
A atividade de exploração visando uma recente falha de divulgação de informações na tecnologia VPN da Check Point disparou nos últimos dias, aumentando a necessidade das organizações resolverem a falha imediatamente.
A vulnerabilidade, identificada como CVE-2024-24919 , afeta software em várias versões dos dispositivos CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark da Check Point. Todos os produtos afetados são gateways de segurança Check Point com funcionalidade VPN IPsec.
Vulnerabilidade perigosa
A Check Point alertou sobre a vulnerabilidade que permite aos invasores acessar informações confidenciais nos gateways de segurança que, em alguns casos, podem permitir que se movam lateralmente em uma rede comprometida e obtenham privilégios de administrador de domínio. O fornecedor de segurança divulgou a vulnerabilidade em 28 de maio – junto com um hotfix para ela – em meio a relatos de tentativas ativas de exploração. A Check Point identificou que a atividade de exploração começou no início de abril, quase dois meses antes da divulgação.
Em um relatório divulgado esta semana, a empresa de varredura de tráfego de Internet Greynoise disse que detectou um rápido aumento nas tentativas de exploração direcionadas ao CVE-2024-24919 desde 31 de maio, ou logo após uma prova de conceito da falha ter sido disponibilizada publicamente. De acordo com Greynoise, as tentativas iniciais de atacar a vulnerabilidade começaram, na verdade, um dia antes a partir de um endereço IP baseado em Taiwan, mas envolveram uma exploração que não funcionava.
Tentativas de exploração em larga escala
A primeira tentativa real de exploração originou-se de um endereço IP baseado em Nova York. Até 5 de junho, a Greynoise detectou até 782 IPs de todo o mundo visando a vulnerabilidade. “Com uma prova pública de conceito lançada e a exploração aumentando rapidamente, recomendamos corrigir o Check Point o mais rápido possível”, aconselhou Greynoise.
Uma varredura do Censys no início desta semana identificou cerca de 13.754 sistemas expostos à Internet executando pelo menos um dos três produtos de software que a Check Point identificou como afetados pelo CVE-2024-24919. Cerca de 12.100 dos hosts expostos eram dispositivos de gateway Check Point Quantum Spark, cerca de 1.500 eram Quantum Security Gateways e cerca de 137 eram dispositivos Check Point CloudGuard. Mais de 6.000 dos hosts expostos à Internet estavam localizados no Japão. Outros países com uma concentração relativamente elevada de aparelhos Check Point expostos incluíram a Itália (1.012), os EUA (917) e Israel (845).
No momento da varredura do Censys, menos de 2% dos gateways Check Point Quantum Spark expostos à Internet pareciam estar executando uma versão corrigida do software afetado.
Fácil de encontrar e explorar
Os pesquisadores da WatchTowr que analisaram a falha da Check Point a descreveram como não muito difícil de encontrar e ” extremamente fácil de explorar “. A Check Point atribuiu à falha uma classificação de gravidade de 8,6 em 10 na escala CVSS e descreveu as explorações direcionadas a ela como envolvendo baixa complexidade, sem interação do usuário e sem privilégios especiais de usuário.
A Agência de Segurança Cibernética e de Informação dos EUA (CISA) adicionou CVE-2024-24919 ao seu catálogo de vulnerabilidades exploradas conhecidas . Todas as agências federais do poder executivo civil têm até 20 de junho para aplicar as mitigações recomendadas pela Check Point para a falha ou descontinuar o uso dos produtos afetados até que a correção seja corrigida. No passado, a CISA e outras organizações, como o FBI e a NSA, alertaram repetidamente sobre vulnerabilidades em VPNs e outras tecnologias de acesso seguro como apresentando um elevado risco para as organizações devido à medida em que os atacantes atacaram estas falhas nos últimos anos.
A Check Point recomendou que as organizações afetadas instalem seus acumuladores Jumbo Hotfix mais recentes para resolver a vulnerabilidade de segurança. As organizações que não podem implantar imediatamente o Jumbo Hotfix Accumulator – basicamente um pacote que contém correções para vários problemas em vários produtos – devem instalar o hotfix de segurança para CVE-2024-24919, observou a Check Point.
As organizações devem instalar o hotfix em qualquer gateway e cluster de segurança afetado onde o recurso IPSec VPN Software Blade esteja habilitado como parte da comunidade VPN de acesso remoto ou quando o recurso Mobile Access Software Blade estiver habilitado, de acordo com o fornecedor de segurança.
“Esta é uma vulnerabilidade crítica que está sendo explorada ativamente”, alertou Censys. No entanto, também existem alguns fatores atenuantes, observou a empresa. Por um lado, a vulnerabilidade afeta apenas gateways com determinadas configurações. Além disso, “a exploração bem-sucedida não significa necessariamente o comprometimento total do dispositivo; outras circunstâncias precisam ser implementadas, como a presença de arquivos de senha expostos no sistema de arquivos local do seu dispositivo”.