Компания Check Point сообщила, что злоумышленники с конца апреля активно эксплуатируют критическую уязвимость в системе удаленного доступа Check Point ” data-html=”true” data-original-title=”VPN” >VPN, которая позволяет похищать данные Active Directory для дальнейшего распространения внутри сетей жертв.
27 мая Check Point предупредила своих клиентов, что атаки направлены на их системы безопасности через устаревшие локальные VPN-аккаунты с ненадежной аутентификацией на основе паролей.
В ходе дальнейшего расследования выяснилось, что хакеры использовали уязвимость раскрытия информации CVE-2024-24919 (оценка CVSS 3.1: 7.5) для осуществления атак. Компания выпустила исправления,чтобы помочь клиентам блокировать попытки эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Техника Quantum Spark.
В обновленном уведомлении Check Point объяснила, что данная уязвимость позволяет атакующему читать определенную информацию на подключенных к Интернету шлюзах с включенным удаленным доступом VPN или мобильным доступом. Зафиксированные попытки атак в основном направлены на удаленные сценарии доступа через старые локальные аккаунты с нерекомендуемой аутентификацией по паролю.
После установки исправления, все попытки входа с использованием слабых учетных данных и методов аутентификации будут автоматически блокироваться и регистрироваться в журнале.
Хотя Check Point сообщила, что атаки, нацеленные на CVE-2024-24919, начались около 24 мая, ИБ-компания mnemonic заявила,что наблюдала попытки эксплуатации уязвимости в сетях своих клиентов с 30 апреля. В компании отметили, что данная уязвимость “особенно критична” из-за лёгкости удалённой эксплуатации, так как не требует взаимодействия с пользователем или каких-либо привилегий на атакуемых устройствах Check Point.
По данным mnemonic, уязвимость позволяет злоумышленникам извлекать хэши паролей для всех локальных аккаунтов, включая учетные записи, используемые для подключения к Active Directory. Слабые пароли могут быть взломаны, что приведет к дальнейшему неправильному использованию и возможному боковому перемещению внутри сети.
Было замечено, что злоумышленники извлекали ntds.dit, базу, в которой хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, из скомпрометированных систем в течение 2-3 часов после входа в систему с помощью локального пользователя.
Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.
mnemonic советует клиентам Check Point немедленно обновить затронутые системы до исправленной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности. Администраторам также рекомендуется сменить пароли и учетные записи для LDAP-соединений с Active Directory, провести анализ журналов на предмет признаков компрометации, таких как аномальное поведение и подозрительные попытки входа, и, если возможно, обновить сигнатуры IPS Check Point для обнаружения попыток эксплуатации.