Détection CVE-2024-24919 : Vulnérabilité Zero-Day Activement Exploitée dans des Attaques en Conditions Réelles Contre les Produits de Passerelle VPN de Check Point

Il y a un intérêt croissant parmi les collectifs de hackers pour exploiter les environnements VPN d’accès à distance en abusant généralement des vulnérabilités zero-day comme points d’entrée et vecteurs d’attaque dans les entreprises. Une nouvelle vulnérabilité zero-day critique dans les produits Check Point Network Security gateway identifiée comme CVE-2024-24919 a fait les gros titres. Depuis avril 2024, la faille a été exploitée dans des attaques VPN sauvages, impactant déjà un ensemble de solutions VPN et de fournisseurs de cybersécurité.La vulnérabilité donne le feu vert aux attaquants pour accéder à des données spécifiques sur les passerelles connectées à Internet avec VPN d’accès à distance activé ou un mobile.

Détecter les Exécutions de CVE-2024-24919

Étant donné que le CVE-2024-24919 est critique et trivial à exploiter, fournissant aux attaquants un moyen facile d’obtenir un accès à distance à des actifs sensibles des entreprises, les professionnels de la sécurité ont besoin d’une source fiable de CTI et de contenu de détection organisé pour identifier les éventuelles intrusions à temps. Plateforme SOC Prime pour la défense collective offre un flux mondial sur les dernières TTP servant à détecter les menaces émergentes sous un SLA de 24 heures pour vous permettre de rester au courant des CVE en tendance.

La règle de l’équipe SOC Prime ci-dessous est basée sur un PoC publiquement disponible et aide les experts en sécurité à identifier les exécutions de CVE-2024-24919. La détection est compatible avec 30 solutions SIEM, EDR et Data Lake, mappée au cadre MITRE ATT&CK, et enrichie avec du CTI exploitable et des métadonnées extensives pour faciliter l’investigation des menaces.

Tentative d’Exploitation Possible de CVE-2024-24919 (Divulgation d’Informations de Check Point Security Gateway) (via proxy)

Pour rester au sommet des intrusions possibles et remédier au risque de violation, les défenseurs cybersécuritaires pourraient explorer toute la collection d’algorithmes pertinents pour une détection proactive et une gestion des vulnérabilités. Appuyez simplement sur le bouton Explore Detections ci-dessous et descendez immédiatement vers une pile de détection organisée.

Explore Detections

Analyse de CVE-2024-24919

Les attaquants sont motivés pour accéder aux organisations de tailles et niveaux de maturité divers avec des configurations d’accès à distance afin d’identifier les actifs et utilisateurs pertinents de l’entreprise. Ils s’efforcent également de rechercher des moyens d’identifier les bogues de sécurité et de les armer pour maintenir la persistance sur des actifs critiques de l’entreprise.

Check Point a récemment publié une importante mise à jour de sécurité avertissant la communauté mondiale des défenseurs cybernétiques d’une nouvelle vulnérabilité zero-day dans ses produits Network Security gateway, qui a été exploitée dans la nature depuis mi-printemps 2024. La vulnérabilité a été découverte par le fournisseur le 28 mai 2024. Les tentatives d’exploitation réussies peuvent conduire à un accès non autorisé à des informations sensibles sur la Security Gateway. Les attaques VPN observées ciblent des scénarios d’accès à distance impliquant des anciens comptes locaux qui reposent uniquement sur l’authentification par mot de passe.

Identifiée comme CVE-2024-24919, la faille affecte les appareils CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways et Quantum Spark.

Selon Mnemonic, le CVE-2024-24919 pourrait être considéré comme critique car il peut être armé à distance sans interaction ou privilèges d’utilisateur, posant un risque important pour les organisations potentiellement affectées et les utilisateurs individuels.

Comme mesures d’atténuation pour CVE-2024-24919, le fournisseur recommande d’installer rapidement un correctif sur les passerelles Check Point Network Security pour minimiser les risques d’attaques VPN dus à l’exploitation des vulnérabilités. La solution de contournement s’applique aux instances de Security Gateway potentiellement impactées qui ont la fonctionnalité IPsec VPN Blade activée lorsqu’elles sont incluses dans la communauté VPN d’accès à distance ou qui ont des configurations avec la fonctionnalité Mobile Access Software Blade activée.

Comme étapes supplémentaires pour renforcer la posture de sécurité VPN de l’organisation, Check Point recommande également de suivre en permanence les comptes locaux, de les désactiver s’ils ne sont pas utilisés, et d’appliquer des niveaux supplémentaires de protection, en plus de l’authentification par mot de passe uniquement.

Alors que les attaques VPN augmentent et que les vulnérabilités sont largement exploitées dans la nature, les risques d’intrusions via plusieurs vecteurs d’attaque s’amplifient, incitant les défenseurs à remodeler leurs stratégies de défense cybernétique en réponse. Tirant parti de l’ensemble complet de produits SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée et la validation des piles de détection, les organisations peuvent anticiper les attaques de toute sorte avec des outils de pointe et l’expertise mondiale de l’industrie à leur disposition.