Check Point ha publicado revisiones para una vulnerabilidad Zero-Day explotada en ataques para obtener acceso remoto a firewalls e intentar violar redes corporativas a través de sus VPN.
El lunes, la compañía advirtió por primera vez sobre un aumento en los ataques dirigidos a dispositivos VPN y compartió recomendaciones sobre cómo los administradores pueden proteger sus dispositivos. Más tarde, descubrió la fuente del problema, una falla Zero-Day que delincuentes informáticos están explotando activamente contra sus clientes.
Registrada como CVE-2024-24919, la vulnerabilidad de divulgación de información de alta gravedad permite a los atacantes leer cierta información en Check Point Security Gateways expuestos a Internet con VPN de acceso remoto o software Blades de acceso móvil habilitados.
“La vulnerabilidad potencialmente permite a un atacante leer cierta información en puertas de enlace conectadas a Internet con VPN de acceso remoto o acceso móvil habilitado”, se lee en una actualización del aviso anterior de Check Point. “Los intentos que hemos visto hasta ahora, como se alertó anteriormente el 27 de mayo, se centran en escenarios de acceso remoto con cuentas locales antiguas con autenticación de sólo contraseña no recomendada”.
CVE-2024-24929 afecta a CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways y Quantum Spark Appliances, en las versiones del producto: R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x y R81.20.
Check Point ha publicado las siguientes actualizaciones de seguridad para solucionar la falla:
- Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40
- Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
- Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x
Para aplicar la actualización, diríjase al portal Security Gateway > Actualizaciones de software > Actualizaciones disponibles > Actualizaciones de revisiones y haga clic en “Instalar”. El proveedor dice que el proceso debería tardar aproximadamente 10 minutos y es necesario reiniciar.
De acuerdo al análisis de Watchtowr ya hay exploits públicos que se están aprovechan de la vulnerabilidad y existen más de 109 mil servicios expuestos.
- Hunter Link: product.name=”Check Point SSL Network Extender”
- Query Hunter: /product.name=”Check Point SSL Network Extender”
- FOFA: title=”Check Point SSL Network Extender”
- SHODAN: http.title=”Check Point SSL Network Extender”
Una vez instalada la revisión, los intentos de inicio de sesión que utilicen credenciales y métodos de autenticación débiles se bloquearán automáticamente y se creará un registro.
También se han puesto a disposición revisiones para las versiones al final de su vida útil (EOL), pero deben descargarse y aplicarse manualmente.
Check Point creó una página de preguntas frecuentes con información adicional sobre CVE-2024-24919, firma IPS e instrucciones de instalación manual de revisiones. Se recomienda a aquellos que no puedan aplicar la actualización que mejoren su postura de seguridad actualizando la contraseña de Active Directory (AD) que Security Gateway utiliza para la autenticación.
Además, Check Point ha creado un script de validación de acceso remoto que se puede cargar en ‘SmartConsole’ y ejecutar para revisar los resultados y tomar las acciones adecuadas.
Más información sobre cómo actualizar la contraseña de AD y usar el script ‘VPNcheck.sh’ está disponible en el boletín de seguridad de Check Point.
Fuente: Segu-Info