Rilevamento CVE-2024-24919: Vulnerabilità Zero-Day Attivamente Sfruttata per Attacchi In-the-Wild contro i Prodotti VPN Gateway di Check Point
Indice:
C’è un crescente interesse tra i collettivi di hacking nello sfruttamento degli ambienti VPN ad accesso remoto abusando comunemente le vulnerabilità zero-day come punti di ingresso e vettori di attacco nelle imprese. Una nuova vulnerabilità zero-day critica nei prodotti di sicurezza di rete Check Point tracciata come CVE-2024-24919 ha fatto notizia. Dall’aprile 2024, la falla è stata sfruttata in attacchi VPN nel mondo reale, già impattando un insieme di soluzioni VPN e fornitori di cybersecurity.La vulnerabilità offre agli attaccanti il via libera per accedere a dati specifici su Gateway connessi a Internet con VPN ad accesso remoto o mobile abilitato.
Rileva gli exploit CVE-2024-24919
Vedendo che il CVE-2024-24919 è critico e banale da sfruttare, fornendo agli attaccanti un modo semplice per ottenere l’accesso remoto a risorse aziendali sensibili, i professionisti della sicurezza richiedono una fonte affidabile di CTI e contenuti di rilevazione curati per identificare tempestivamente possibili intrusioni. Piattaforma SOC Prime per la difesa collettiva offre un feed globale sulle ultime TTP che servono rilevazioni per minacce emergenti sotto un SLA di 24 ore in modo da poter rimanere al passo con i CVE di tendenza.
La regola del Team SOC Prime qui sotto si basa su PoC disponibili pubblicamente e aiuta gli esperti di sicurezza a identificare gli exploit CVE-2024-24919. La rilevazione è compatibile con 30 soluzioni SIEM, EDR e Data Lake, mappato al framework MITRE ATT&CK, e arricchito con CTI azionabile & metadati estesi per facilitare l’indagine delle minacce.
Per rimanere al passo con possibili intrusioni e mitigare il rischio di una violazione, i difensori informatici potrebbero esplorare l’intera collezione di algoritmi rilevanti per la rilevazione e gestione proattiva delle vulnerabilità. Basta premere il tasto Esplora rilevazioni sotto e approfondire immediatamente uno stack di rilevazione curato.
Analisi CVE-2024-24919
Gli attaccanti sono motivati ad accedere a organizzazioni di dimensioni e livelli di maturità diversi attraverso setup ad accesso remoto per identificare risorse aziendali e utenti rilevanti. Stanno anche cercando modi per identificare bug di sicurezza e armarli per mantenere la persistenza su risorse aziendali cruciali.
Check Point ha recentemente rilasciato un importante aggiornamento di sicurezza avvertendo la comunità globale dei difensori cibernetici di una nuova vulnerabilità zero-day nei suoi prodotti di sicurezza di rete, sfruttata nel mondo reale dalla metà della primavera 2024. La vulnerabilità è stata scoperta dal fornitore il 28 maggio 2024. Tentativi di sfruttamento riusciti possono portare ad accesso non autorizzato a informazioni sensibili sul Security Gateway. Gli attacchi VPN osservati mirano a scenari di accesso remoto che coinvolgono vecchi account locali che si basano esclusivamente sull’autenticazione con password.
Identificata come CVE-2024-24919, la falla colpisce i dispositivi CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark.
Secondo Mnemonic, CVE-2024-24919 potrebbe essere considerata critica poiché può essere armata da remoto senza alcuna interazione o privilegi dell’utente, rappresentando un rischio significativo per le organizzazioni potenzialmente colpite e gli utenti individuali.
Come misure di mitigazione del CVE-2024-24919, il fornitore raccomanda di installare immediatamente una patch sui gateway di sicurezza di rete Check Point per minimizzare i rischi di attacchi VPN dovuti allo sfruttamento della vulnerabilità. La soluzione alternativa è applicabile alle istanze potenzialmente impattate del Security Gateway che hanno abilitato la IPsec VPN Blade quando incluse nella comunità VPN ad accesso remoto o che hanno configurazioni con la Mobile Access Software Blade attivata.
Come ulteriori passi per rafforzare la postura di sicurezza VPN dell’organizzazione, Check Point raccomanda anche di tracciare continuamente gli account locali, disabilitandoli se inutilizzati, e applicare livelli aggiuntivi di protezione della sicurezza oltre all’autenticazione basata solo su password.
Come gli attacchi VPN aumentano e le vulnerabilità sono ampiamente sfruttate nel mondo reale, i rischi di intrusioni attraverso molteplici vettori di attacco stanno aumentando, incoraggiando i difensori a rimodellare le loro strategie di difesa informatica in risposta. Sfruttando il completo suite di prodotti di SOC Prime per l’ingegneria della rilevazione alimentata dall’AI, la caccia automatizzata delle minacce e la validazione dello stack di rilevazione, le organizzazioni possono prevenire attacchi di qualsiasi tipo con strumenti all’avanguardia e l’expertise globale del settore a loro disposizione.
