Что нужно знать о новой уязвимости с активной эксплуатацией?
Компания Check Point сообщила, что злоумышленники с конца апреля активно эксплуатируют критическую уязвимость в системе удаленного доступа Check Point VPN, которая позволяет похищать данные Active Directory для дальнейшего распространения внутри сетей жертв.
27 мая Check Point предупредила своих клиентов, что атаки направлены на их системы безопасности через устаревшие локальные VPN-аккаунты с ненадежной аутентификацией на основе паролей.
В ходе дальнейшего расследования выяснилось, что хакеры использовали уязвимость раскрытия информации CVE-2024-24919 (оценка CVSS 3.1: 7.5) для осуществления атак. Компания выпустила исправления, чтобы помочь клиентам блокировать попытки эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Техника Quantum Spark.
В обновленном уведомлении Check Point объяснила, что данная уязвимость позволяет атакующему читать определенную информацию на подключенных к Интернету шлюзах с включенным удаленным доступом VPN или мобильным доступом. Зафиксированные попытки атак в основном направлены на удаленные сценарии доступа через старые локальные аккаунты с нерекомендуемой аутентификацией по паролю.
После установки исправления, все попытки входа с использованием слабых учетных данных и методов аутентификации будут автоматически блокироваться и регистрироваться в журнале.
Хотя Check Point сообщила, что атаки, нацеленные на CVE-2024-24919, начались около 24 мая, ИБ-компания mnemonic заявила, что наблюдала попытки эксплуатации уязвимости в сетях своих клиентов с 30 апреля. В компании отметили, что данная уязвимость «особенно критична» из-за лёгкости удалённой эксплуатации, так как не требует взаимодействия с пользователем или каких-либо привилегий на атакуемых устройствах Check Point.
По данным mnemonic, уязвимость позволяет злоумышленникам извлекать хэши паролей для всех локальных аккаунтов, включая учетные записи, используемые для подключения к Active Directory. Слабые пароли могут быть взломаны, что приведет к дальнейшему неправильному использованию и возможному боковому перемещению внутри сети.
Было замечено, что злоумышленники извлекали ntds.dit, базу, в которой хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, из скомпрометированных систем в течение 2–3 часов после входа в систему с помощью локального пользователя.
Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.
mnemonic советует клиентам Check Point немедленно обновить затронутые системы до исправленной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности. Администраторам также рекомендуется сменить пароли и учетные записи для LDAP-соединений с Active Directory, провести анализ журналов на предмет признаков компрометации, таких как аномальное поведение и подозрительные попытки входа, и, если возможно, обновить сигнатуры IPS Check Point для обнаружения попыток эксплуатации.
Ладно, не доказали. Но мы работаем над этим