CVE-2024-24919 検出：Check PointのVPNゲートウェイ製品に対する野生での攻撃に活発に悪用されているゼロデイ脆弱性

ハッカー集団の間で、遠隔アクセスVPN環境を悪用することに対する興味が高まっており、一般的に ゼロデイ脆弱性 を侵入のためのエントリーポイントや攻撃ベクターとして悪用しています。チェック・ポイント・ネットワーク・セキュリティゲートウェイ製品における新たな重大なゼロデイ脆弱性であり、 CVE-2024-24919 として追跡されてメディアに報道されています。 2024年4月以降、この脆弱性は、野生でのVPN攻撃で悪用され、すでにセットのVPNソリューションやサイバーセキュリティベンダーに影響を与えています。この脆弱性は、遠隔アクセスVPNまたはモバイルアクセスが有効になっているインターネット接続されたゲートウェイ上の特定のデータにアクセスすることを攻撃者に許可します。

CVE-2024-24919 のエクスプロイトを検出する

CVE-2024-24919 が重大であり悪用が容易であるため、攻撃者に重要な企業資産への簡単な遠隔アクセス方法を提供することから、セキュリティ専門家は可能な侵入をタイムリーに特定するための信頼できるCTIソースと carefully curatedな検出コンテンツを必要とします。 SOC Prime プラットフォーム は、最新のTTPを提供するグローバルフィードを提供し、24時間のSLAの下で新たな脅威に対する検出を提供することで、トレンドのCVEを把握するのに役立ちます。

以下のSOC Primeチームのルールは、公開されているPoCに基づいており、セキュリティの専門家がCVE-2024-24919のエクスプロイトを識別するのに役立ちます。この検出は、30のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK フレームワークにマッピングされ、脅威調査を円滑にするための実行可能なCTIと豊富なメタデータで強化されています。

CVE-2024-24919 (Check Point Security Gateway 情報漏洩) の可能性のある悪用試行（プロキシ経由）

可能性のある侵入を把握し、侵害のリスクを軽減するために、サイバー防御者はプロアクティブな脆弱性検出と管理のための関連するアルゴリズムの全コレクションを探ることができる。以下の 「検出を探る」 ボタンを押すと、精選された検出スタックにすぐに突入できます。

「検出を探る」

CVE-2024-24919 分析

攻撃者は、遠隔アクセス設定を通じて、さまざまな規模や成熟度の組織にアクセスし、関連する企業資産やユーザーを特定することを目指しています。また、セキュリティバグを特定し、それを武器化して重要な企業資産上での持続を維持する方法を模索しています。

チェック・ポイントは最近、 重要なセキュリティアップデート を発行し、そのネットワークセキュリティゲートウェイ製品における新たなゼロデイ脆弱性について、グローバルなサイバー防御者コミュニティに警告しています。この脆弱性は2024年春頃から野生で悪用されており、5月28日にベンダーによって発見されました。成功したエクスプロイト努力は、セキュリティゲートウェイ上の機密情報への不正アクセスを引き起こす可能性があります。観察されたVPN攻撃は、パスワード認証のみに依存する古いローカルアカウントを含む遠隔アクセスシナリオを対象にしています。

CVE-2024-24919として特定されたこの欠陥は、CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways、およびQuantum Sparkアプライアンスに影響を及ぼします。

によると、 Mnemonic、CVE-2024-24919は、ユーザーの操作や特権なしにリモートで武器化される可能性があるため、重要と見なされ得る。このため、潜在的に影響を受ける組織や個別のユーザーにとって重大なリスクをもたらします。

CVE-2024-24919 の緩和策として、ベンダーは、 即座にホットフィックスをインストールする ことを推奨しており、脆弱性悪用によるVPN攻撃のリスクを最小限に抑えます。この回避策は、リモートアクセスVPNコミュニティに含まれているか、モバイルアクセスソフトウェアブレードが有効になっている構成を持つ場合に適用される、潜在的に影響を受けたセキュリティゲートウェイインスタンスに適用可能です。

組織のVPNセキュリティ姿勢を強化するための追加のステップとして、チェック・ポイントは、ローカルアカウントを常に追跡し、未使用の場合は無効にし、パスワードのみの認証とは別に追加のセキュリティ保護レベルを適用することも推奨しています。

VPN攻撃が急増し、脆弱性が主に野生で悪用される中で、複数の攻撃ベクターを介した侵入のリスクが高まり、ディフェンダーがサイバー防御戦略を見直し、これに応じて再構築するように促しています。 SOC Prime の完全な製品スイート を活用して、AIを活用した検出工学、自動化された脅威ハンティング、および検出スタックの検証を行うことで、組織は優れたツールと手元のグローバル業界エキスパートを活用することで、あらゆる種類の攻撃を未然に防ぐことができます。