Detección de CVE-2024-24919: Vulnerabilidad de Día Cero Explotada Activamente en Ataques en la Naturaleza Contra los Productos de Pasarela VPN de Check Point
Tabla de contenidos:
Hay un creciente interés entre los colectivos de hackers en explotar entornos de VPN de acceso remoto abusando comúnmente de vulnerabilidades de día cero como puntos de entrada y vectores de ataque en las empresas. Una nueva vulnerabilidad crítica de día cero en los productos de puerta de enlace de seguridad de red de Check Point, rastreada como CVE-2024-24919 ha llegado a los titulares. Desde abril de 2024, la falla ha sido explotada en ataques de VPN en estado salvaje, impactando ya a un conjunto de soluciones VPN y proveedores de ciberseguridad.La vulnerabilidad da a los atacantes luz verde para acceder a datos específicos en Puertas de Enlace conectadas a Internet con VPN de acceso remoto o móvil habilitado.
Detectar Explotaciones de CVE-2024-24919
Viendo que el CVE-2024-24919 es crítico y trivial de explotar, proporcionando a los atacantes un método sencillo para obtener acceso remoto a activos empresariales sensibles, los profesionales de seguridad requieren una fuente confiable de CTI y contenido de detección curado para identificar posibles intrusiones a tiempo. Plataforma SOC Prime para defensa colectiva ofrece un feed global sobre las últimas TTPs sirviendo detecciones para amenazas emergentes bajo un SLA de 24 horas para que pueda mantenerse al tanto de las CVEs en tendencia.
La regla del Equipo SOC Prime a continuación está basada en una PoC disponible públicamente y ayuda a los expertos en seguridad a identificar explotaciones de CVE-2024-24919. La detección es compatible con 30 soluciones SIEM, EDR y Data Lake, mapeadas al marco MITRE ATT&CK, y enriquecido con CTI accionable y metadatos extensos para facilitar la investigación de amenazas.
Para mantenerse al tanto de posibles intrusiones y remediar el riesgo de una violación, los defensores cibernéticos pueden explorar toda la colección de algoritmos relevantes para la detección proactiva de vulnerabilidades y la gestión. Simplemente haga clic en el Explorar Detecciones botón de abajo y profundice inmediatamente en un stack de detecciones curado.
Análisis de CVE-2024-24919
Los atacantes se sienten impulsados a acceder a organizaciones de diversos tamaños y niveles de madurez a través de configuraciones de acceso remoto para identificar activos empresariales y usuarios relevantes. También se esfuerzan por buscar formas de identificar errores de seguridad y armarlos para mantener la persistencia en activos empresariales cruciales.
Check Point ha emitido recientemente una importante actualización de seguridad advirtiendo a la comunidad global de defensores cibernéticos sobre una nueva vulnerabilidad de día cero en sus productos de puerta de enlace de seguridad de red, que ha sido explotada en el estado salvaje desde mediados de la primavera de 2024. La vulnerabilidad fue descubierta por el proveedor el 28 de mayo de 2024. Los intentos de explotación exitosos pueden llevar a un acceso no autorizado a información sensible en el Security Gateway. Los ataques de VPN observados apuntan a escenarios de acceso remoto que involucran cuentas locales antiguas que dependen únicamente de la autenticación por contraseña.
Identificada como CVE-2024-24919, la falla afecta a CloudGuard Network, Quantum Maestro, Chasis Escalable Quantum, Security Gateways Quantum y dispositivos Quantum Spark.
Según Mnemonic, CVE-2024-24919 podría considerarse crítica ya que puede ser armada de forma remota sin interacción o privilegios del usuario, representando un riesgo significativo para organizaciones potencialmente afectadas y usuarios individuales.
Como medidas de mitigación de CVE-2024-24919, el proveedor recomienda instalar rápidamente un hotfix en las puertas de enlace de seguridad de red de Check Point para minimizar los riesgos de ataques VPN debido a la explotación de la vulnerabilidad. La solución alternativa es aplicable a instancias de Security Gateway potencialmente afectadas que tienen habilitado el IPsec VPN Blade cuando están incluidas en la comunidad de VPN de acceso remoto o que tienen configuraciones con el Mobile Access Software Blade activado.
Como pasos adicionales para fortalecer la postura de seguridad VPN de la organización, Check Point también recomienda rastrear continuamente las cuentas locales, deshabilitarlas si no se usan, y aplicar niveles adicionales de protección de seguridad aparte de la autenticación solo por contraseña.
A medida que los ataques VPN aumentan y las vulnerabilidades se explotan extensamente en el estado salvaje, los riesgos de intrusiones a través de múltiples vectores de ataque están escalando, alentando a los defensores a reformular sus estrategias de defensa cibernética en respuesta. Aprovechando el conjunto completo de productos de SOC Prime para Ingeniería de Detección impulsada por IA, Búsqueda Automática de Amenazas y Validación del Stack de Detección, las organizaciones pueden anticiparse a los ataques de cualquier tipo con herramientas de vanguardia y la experiencia global de la industria a su disposición.
