Detecção CVE-2024-24919: Vulnerabilidade Zero-Day Ativamente Explorada em Ataques In-the-Wild contra Produtos VPN Gateway da Check Point
Índice:
Há um crescente interesse entre coletivos de hackers em explorar ambientes VPN de acesso remoto abusando comumente vulnerabilidades zero-day como pontos de entrada e vetores de ataque em empresas. Uma nova vulnerabilidade crítica zero-day nos produtos Check Point Network Security gateway rastreada como CVE-2024-24919 está nas manchetes. Desde abril de 2024, a falha tem sido explorada em ataques VPN na natureza, já impactando um conjunto de soluções VPN e fornecedores de cibersegurança.A vulnerabilidade dá aos atacantes luz verde para acessar dados específicos em gateways conectados à Internet com VPN de acesso remoto ou móvel habilitados.
Detectar Explorações CVE-2024-24919
Visto que o CVE-2024-24919 é crítico e trivial de explorar, fornecendo aos atacantes uma maneira fácil de obter acesso remoto a ativos empresariais sensíveis, os profissionais de segurança precisam de uma fonte confiável de CTI e conteúdo de detecção curado para identificar possíveis intrusões a tempo. Plataforma SOC Prime para defesa coletiva oferece um feed global sobre as últimas TTPs servindo detecções para ameaças emergentes sob um SLA de 24 horas para que você possa se manter atualizado sobre os CVEs em tendência.
A regra da Equipe SOC Prime abaixo é baseada em PoC publicamente disponível e ajuda os especialistas em segurança a identificar explorações CVE-2024-24919. A detecção é compatível com 30 soluções SIEM, EDR e Data Lake, mapeadas para o MITRE ATT&CK framework, e enriquecida com CTI acionável e metadados extensivos para suavizar a investigação de ameaças.
Para se manter à frente de possíveis intrusões e mitigar o risco de uma violação, os defensores cibernéticos podem explorar toda a coleção de algoritmos relevantes para detecção e gestão proativas de vulnerabilidades. Basta clicar no Explorar Detecções botão abaixo e imediatamente acessar um stack de detecção curado.
Análise CVE-2024-24919
Os atacantes são motivados a acessar organizações de diversos tamanhos e níveis de maturidade através de configurações de acesso remoto para identificar ativos e usuários empresariais relevantes. Eles também estão se esforçando para encontrar maneiras de identificar falhas de segurança e armá-las para manter a persistência em ativos empresariais cruciais.
A Check Point emitiu recentemente uma atualização de segurança importante alertando a comunidade global de defensores cibernéticos sobre uma nova vulnerabilidade zero-day em seus produtos Network Security gateway, que tem sido explorada na natureza desde meados da primavera de 2024. A vulnerabilidade foi descoberta pelo fornecedor em 28 de maio de 2024. Tentativas bem-sucedidas de exploração podem levar a acesso não autorizado a informações sensíveis no Security Gateway. Os ataques VPN observados visam cenários de acesso remoto envolvendo contas locais antigas que dependem apenas de autenticação por senha.
Identificada como CVE-2024-24919, a falha afeta CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e appliances Quantum Spark.
De acordo com Mnemonic, o CVE-2024-24919 pode ser considerado crítico, pois pode ser armado remotamente sem qualquer interação ou privilégios do usuário, representando um risco significativo para organizações e usuários individuais potencialmente afetados.
Como medidas de mitigação CVE-2024-24919, o fornecedor recomenda instalar prontamente um hotfix nos gateways Check Point Network Security para minimizar os riscos de ataques VPN devido à exploração de vulnerabilidades. A solução alternativa é aplicável a instâncias potencialmente impactadas do Security Gateway que têm o IPsec VPN Blade ativado quando incluídas na comunidade VPN de Acesso Remoto ou que possuem configurações com o Mobile Access Software Blade ativado.
Como passos adicionais para fortalecer a postura de segurança VPN da organização, a Check Point também recomenda monitorar continuamente contas locais, desativá-las se não usadas e aplicar níveis adicionais de proteção de segurança além da autenticação apenas por senha.
À medida que os ataques VPN aumentam e as vulnerabilidades são amplamente exploradas na natureza, os riscos de intrusões via múltiplos vetores de ataque estão aumentando, encorajando os defensores a reformular suas estratégias de defesa cibernética em resposta. Aproveitando o conjunto completo de produtos da SOC Prime para Engenharia de Detecção alimentada por IA, Caça a Ameaças Automatizada e Validação de Stack de Detecção, as organizações podem prevenir ataques de qualquer tipo com ferramentas de ponta e a expertise global da indústria à sua disposição.
