CVE-2024-24919 Erkennung: Zero-Day-Sicherheitslücke wird aktiv für Echtzeit-Angriffe auf Check Points VPN-Gateway-Produkte ausgenutzt
Inhaltsverzeichnis:
In Hacker-Kollektiven wächst das Interesse an der Ausnutzung von Remote-Access-VPN-Umgebungen, indem häufig Zero-Day-Schwachstellen als Einstiegspunkte und Angriffspfade in Unternehmen missbraucht werden. Eine neue kritische Zero-Day-Schwachstelle in Check Point Network Security Gateway-Produkten, verzeichnet als CVE-2024-24919 hat für Schlagzeilen gesorgt. Seit April 2024 wurde die Schwachstelle in freier Wildbahn bei VPN-Angriffen ausgenutzt, die bereits eine Reihe von VPN-Lösungen und Cybersicherheitsanbietern betroffen haben. Die Schwachstelle gibt Angreifern grünes Licht, um auf bestimmte Daten auf mit dem Internet verbundenen Gateways mit aktiviertem Remote-Access-VPN oder Mobile Access zuzugreifen.
Erkennung von CVE-2024-24919-Exploits
Da CVE-2024-24919 kritisch und leicht auszunutzen ist, was Angreifern einen einfachen Weg bietet, um Fernzugriff auf sensible Unternehmensressourcen zu erhalten, benötigen Sicherheitsexperten eine zuverlässige Quelle für CTI und kuratierte Erkennungsinhalte, um mögliche Eindringlinge rechtzeitig zu identifizieren. SOC Prime Plattform für kollektive Verteidigung bietet einen globalen Feed zu den neuesten TTPs, die Erkennungen für aufkommende Bedrohungen unter einem 24-Stunden-SLA bereitstellen, sodass Sie immer über aktuelle CVEs informiert sind.
Die Regel des SOC Prime Teams unten basiert auf öffentlich zugänglichen PoC und hilft Sicherheitsexperten, CVE-2024-24919-Exploits zu identifizieren. Die Erkennung ist mit 30 SIEM-, EDR- und Data Lake-Lösungen kompatibel, verknüpft mit dem MITRE ATT&CK Frameworkund angereichert mit umsetzbarer CTI & umfangreichen Metadaten, um die Bedrohungsuntersuchung zu erleichtern.
Um über mögliche Eindringlinge auf dem Laufenden zu bleiben und das Risiko einer Sicherheitsverletzung zu beheben, könnten Cyber-Verteidiger die gesamte Sammlung relevanter Algorithmen für proaktive Schwachstellenerkennung und -management erkunden. Klicken Sie einfach auf den Erkennungen erkunden Button unten und tauchen Sie sofort in einen kuratieren Erkennungsstack ein.
Analyse von CVE-2024-24919
Angreifer sind darauf aus, Organisationen unterschiedlichster Größe und Reife durch Remote-Access-Setups zu erreichen, um relevante Unternehmensressourcen und Benutzer zu identifizieren. Sie streben auch danach, Sicherheitsfehler zu identifizieren und zu nutzen, um die Persistenz auf kritischen Unternehmensressourcen aufrechtzuerhalten.
Check Point hat kürzlich ein wichtiges Sicherheitsupdate herausgegeben, das die globale Cybersicherheit-Gemeinschaft vor einer neuen Zero-Day-Schwachstelle in seinen Network Security Gateway-Produkten warnt, die seit Mitte des Frühjahrs 2024 in freier Wildbahn ausgenutzt wird. Die Schwachstelle wurde vom Anbieter am 28. Mai 2024 entdeckt. Erfolgreiche Ausnutzungsversuche können zu unbefugtem Zugriff auf sensible Informationen auf dem Security Gateway führen. Die beobachteten VPN-Angriffe zielen auf Remote-Access-Szenarien ab, die alte lokale Konten umfassen, die sich ausschließlich auf Passwort-Authentifizierung verlassen.
Identifiziert als CVE-2024-24919 betrifft die Schwachstelle CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways und Quantum Spark Appliances.
Laut Mnemonickönnte CVE-2024-24919 als kritisch angesehen werden, da es remote ohne jegliche Benutzerinteraktion oder Berechtigungen ausgenutzt werden kann, was ein erhebliches Risiko für potenziell betroffene Organisationen und einzelne Benutzer darstellt.
Als CVE-2024-24919-Minderungsmaßnahmen empfiehlt der Anbieter unverzüglich einen Hotfix zu installieren auf Check Point Network Security Gateways, um die Risiken von VPN-Angriffen aufgrund der Schwachstellenausnutzung zu minimieren. Der Workaround ist auf möglicherweise betroffene Security Gateway-Instanzen anwendbar, die die IPsec-VPN-Blade aktiviert haben, wenn sie in die Remote Access VPN-Community einbezogen sind oder Konfigurationen mit der Mobile Access Software Blade aktiviert haben.
Als zusätzliche Schritte zur Stärkung der VPN-Sicherheitsstrategie der Organisation empfiehlt Check Point auch, lokale Konten kontinuierlich zu verfolgen, diese bei Nichtnutzung zu deaktivieren und zusätzliche Sicherheitsschutzebenen zusätzlich zur reinen Passwort-Authentifizierung anzuwenden.
Da VPN-Angriffe zunehmen und Schwachstellen weitgehend in freier Wildbahn ausgenutzt werden, steigen die Risiken von Eindringlingen über mehrere Angriffspfade, was Verteidiger dazu ermutigt, ihre Cyberabwehrstrategien als Reaktion neu auszurichten. Die Nutzung von dem vollständigen Produktportfolio von SOC Prime für KI-gestütztes Detection Engineering, automatisierte Bedrohungssuche und Validierung von Erkennungsstapeln ermöglicht es Organisationen, mit modernsten Werkzeugen und globalen Branchenerfahrungen alle Arten von Angriffen präventiv abzuwehren.
