CVE-2024-24919 탐지: Check Point의 VPN 게이트웨이 제품에 대한 실전 공격에 적극적으로 악용되는 제로데이 취약점

해킹 집단 사이에서 원격 액세스 VPN 환경을 악용하려는 관심이 커지고 있으며, 주로 제로 데이 취약점 을 진입점과 공격 벡터로 활용하고 있습니다. Check Point Network Security 게이트웨이 제품에서 추적된 새로운 중요 제로 데이 취약점인 CVE-2024-24919 가 주목을 받고 있습니다. 2024년 4월부터 이 결함이 실제 VPN 공격에서 악용되어 이미 여러 VPN 솔루션과 사이버 보안 공급업체에 영향을 미치고 있습니다.이 취약점은 공격자가 원격 액세스 VPN이 활성화된 인터넷 연결 게이트웨이에서 특정 데이터에 접근할 수 있는 권한을 제공합니다.

CVE-2024-24919 익스플로잇 탐지

CVE-2024-24919는 심각하며 익스플로잇이 용이하므로, 공격자가 민감한 기업 자산에 원격으로 접근하기 쉽게 만들어 보안 전문가는 가능한 침입을 적시에 식별하기 위한 신뢰할 수 있는 CTI 소스와 정제된 탐지 콘텐츠가 필요합니다. SOC Prime 플랫폼 은 집단 방어를 위한 글로벌 피드를 제공하여, 24시간 SLA 하에 최신 TTPs를 탐지에 활용하여 새로운 위협을 탐지할 수 있는 기회를 제공합니다.

SOC Prime 팀의 아래 규칙은 공개 PoC를 기반으로 하여 보안 전문가가 CVE-2024-24919 익스플로잇을 식별하도록 돕습니다. 탐지는 30개의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크, 실행 가능한 CTI 및 광범위한 메타데이터가 추가되어 위협 조사에 원활함을 제공합니다.

CVE-2024-24919 (Check Point Security Gateway 정보 노출) 악용 시도 (프록시 사용)

가능한 침입을 파악하고 침해 위험을 완화하기 위해, 사이버 수비수는 사전 예방적 취약점 탐지 및 관리 알고리즘의 전체 컬렉션을 탐색할 수 있습니다. 아래의 탐지 탐색 버튼을 클릭하여 정제된 탐지 스택으로 바로 이동하십시오.

탐지 탐색

CVE-2024-24919 분석

공격자는 다양한 규모의 조직으로 원격 액세스 설정을 통해 접근하여 관련 기업 자산과 사용자를 식별하려고 합니다. 또한 이들은 보안 결함을 식별하고 이를 무기로 만들어 중요한 기업 자산에 지속적으로 접근할 수 있는 방법을 찾고 있습니다.

Check Point는 최근 중요한 보안 업데이트를 발표하여 글로벌 사이버 수비 커뮤니티에 2024년 중반부터 실제로 악용된 네트워크 보안 게이트웨이 제품의 새로운 제로 데이 취약점에 대한 경고를 했습니다. 이 취약점은 2024년 5월 28일 공급업체에 의해 발견되었습니다. 성공적인 악용 시도는 보안 게이트웨이에서 민감한 정보에 대한 무단 접근으로 이어질 수 있습니다. 관찰된 VPN 공격은 암호 인증만 의존하는 오래된 로컬 계정을 포함한 원격 액세스 환경을 대상으로 합니다.

CVE-2024-24919로 식별된 이 결함은 CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, 및 Quantum Spark 기기에 영향을 미칩니다.

에 따르면 Mnemonic, CVE-2024-24919는 사용자 상호작용이나 권한 없이 원격으로 무기화될 수 있어 잠재적으로 영향을 받을 수 있는 조직 및 개인 사용자에게 심각한 위험을 줄 수 있습니다.

CVE-2024-24919 완화 조치로, 공급업체는 Check Point Network Security 게이트웨이에 핫픽스를 즉시 설치하여 취약점 악용으로 인한 VPN 공격 위험을 최소화하도록 권장합니다. 이 해결책은 원격 액세스 VPN 커뮤니티에 포함되어 있거나 모바일 액세스 소프트웨어 블레이드가 켜진 구성과 같이 IPsec VPN 블레이드를 활성화한 보안 게이트웨이 인스턴스에 적용할 수 있습니다.

조직의 VPN 보안 태세를 강화하기 위한 추가 단계로, Check Point는 로컬 계정을 지속적으로 추적하고 사용하지 않는 경우 이를 비활성화하며 암호만이 아닌 추가 수준의 보안 보호를 적용할 것을 권장합니다.

VPN 공격이 증가하고 취약점이 주로 실제로 악용됨에 따라, 여러 공격 벡터를 통한 침입 위험이 증가하면서 방어자들은 이에 대응하여 사이버 방어 전략을 재구성해야 합니다. 이를 활용하여 SOC Prime의 전체 제품군 은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위해 조직이 최첨단 도구와 글로벌 산업 전문 지식을 통해 모든 종류의 공격을 사전에 방지할 수 있도록 합니다.