Οι απόπειρες των φορέων απειλών να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα μέσω των VPN της Check Point περιλάμβαναν την εκμετάλλευση μιας ευπάθειας μηδενικής ημέρας και οι επιθέσεις φαίνεται να ξεκίνησαν πριν από ένα μήνα.
Η Check Point προειδοποίησε τους πελάτες της νωρίτερα αυτή την εβδομάδα ότι είχε λάβει γνώση “μικρού αριθμού” προσπαθειών απομακρυσμένης πρόσβασης σε δίκτυα επιχειρήσεων μέσω συνδέσεων που αξιοποιούσαν παλιούς τοπικούς λογαριασμούς VPN που προστατεύονταν με έλεγχο ταυτότητας μόνο με κωδικό πρόσβασης.
Η εταιρεία κυβερνοασφάλειας κυκλοφόρησε αρχικά ένα hotfix για να αποτρέψει τις συνδέσεις μόνο με κωδικό πρόσβασης, αλλά δεν ανέφερε την εκμετάλλευση μιας ευπάθειας.
Ωστόσο, η περαιτέρω ανάλυση έδειξε ότι οι επιθέσεις αφορούσαν στην πραγματικότητα μια άγνωστη προηγουμένως ευπάθεια αποκάλυψης πληροφοριών. Με την ονομασία CVE-2024-24919, η zero-day επιτρέπει στους χάκερς να αποκτήσουν πληροφορίες για πύλες ασφαλείας δικτύου που είναι συνδεδεμένες στο διαδίκτυο και έχουν ενεργοποιημένη την απομακρυσμένη πρόσβαση VPN ή την πρόσβαση μέσω κινητού τηλεφώνου.
Το CVE-2024-24919 έχει βρεθεί ότι επηρεάζει τις πύλες ασφαλείας Check Point με ενεργοποιημένο το IPsec VPN, το VPN απομακρυσμένης πρόσβασης ή το Mobile Access blade. Επηρεάζονται τα προϊόντα Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways και Quantum Spark.
Η MDR και η εταιρεία πληροφοριών απειλών Mnemonic ανέφερε ότι είδε επιθέσεις που εκμεταλλεύονται το CVE-2024-24919 σε περιβάλλοντα πελατών της από τις 30 Απριλίου.
Η εταιρεία εξήγησε ότι η ευπάθεια επιτρέπει στους φορείς απειλών να απαριθμούν και να εξάγουν κατακερματισμένους κωδικούς πρόσβασης για όλους τους τοπικούς λογαριασμούς.
“Η πλήρης έκταση των συνεπειών είναι ακόμη άγνωστη. Ωστόσο, είναι γνωστό ότι μπορούν να εξαχθούν οι κατακερματισμοί κωδικών πρόσβασης των παλαιών τοπικών χρηστών με έλεγχο ταυτότητας μόνο με κωδικό πρόσβασης, συμπεριλαμβανομένων των λογαριασμών υπηρεσιών που χρησιμοποιούνται για τη σύνδεση στην Active Directory. Οι αδύναμοι κωδικοί πρόσβασης μπορούν να παραβιαστούν, οδηγώντας σε περαιτέρω κατάχρηση και πιθανή πλευρική μετακίνηση εντός του δικτύου”, δήλωσε η Mnemonic.
“Η ευπάθεια είναι ιδιαίτερα κρίσιμη επειδή δεν απαιτεί καμία αλληλεπίδραση ή προνόμια του χρήστη, καθιστώντας εύκολη την εκμετάλλευσή της από απόσταση”, προειδοποίησε η εταιρεία.
Η Mnemonic σημείωσε ότι οι επιθέσεις φαίνεται να συνδέονται με τη δραστηριότητα που περιέγραψε νωρίτερα αυτό το μήνα, η οποία αφορούσε την κατάχρηση του Visual Studio Code για traffic tunneling. Σε αυτές τις επιθέσεις, οι απειλητικοί φορείς εκμεταλλεύτηκαν το CVE-2024-24919 για να αποσπάσουν πληροφορίες χρήστη, οι οποίες στη συνέχεια χρησιμοποιήθηκαν για να κινηθούν πλευρικά στο παραβιασμένο δίκτυο.