Vulnerabilidad Zero-Day en Check Point VPN, activamente explotada

Check Point ha publicado revisiones para una vulnerabilidad Zero-Day explotada
en ataques para obtener acceso remoto a firewalls e intentar violar redes
corporativas a través de sus VPN.

El lunes, la compañía advirtió por primera vez sobre un aumento en los ataques
dirigidos a dispositivos VPN y compartió recomendaciones sobre cómo los
administradores pueden proteger sus dispositivos. Más tarde, descubrió la
fuente del problema,
una falla Zero-Day que delincuentes informáticos están explotando
activamente contra sus clientes.

Registrada como CVE-2024-24919, la vulnerabilidad de divulgación de
información de alta gravedad permite a los atacantes leer cierta información
en Check Point Security Gateways expuestos a Internet con VPN de acceso remoto
o software Blades de acceso móvil habilitados.

“La vulnerabilidad potencialmente permite a un atacante leer cierta
información en puertas de enlace conectadas a Internet con VPN de acceso
remoto o acceso móvil habilitado”,
se lee en una actualización del aviso anterior de Check Point.
“Los intentos que hemos visto hasta ahora, como se alertó anteriormente el
27 de mayo, se centran en escenarios de acceso remoto con cuentas locales
antiguas con autenticación de sólo contraseña no recomendada”.

CVE-2024-24929 afecta a CloudGuard Network, Quantum Maestro, Quantum Scalable
Chassis, Quantum Security Gateways y Quantum Spark Appliances, en las
versiones del producto: R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10,
R81.10.x y R81.20.

Check Point ha publicado las siguientes actualizaciones de seguridad para
solucionar la falla:

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10,
R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40,
R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

Para aplicar la actualización, diríjase al portal Security Gateway >
Actualizaciones de software > Actualizaciones disponibles >
Actualizaciones de revisiones y haga clic en “Instalar”. El proveedor dice que
el proceso debería tardar aproximadamente 10 minutos y es necesario reiniciar.

De acuerdo al análisis de
Watchtowr
ya hay
exploits
públicos que se están aprovechan de la vulnerabilidad y existen más de 109 mil
servicios expuestos.

Hunter Link: product.name=”Check Point SSL Network Extender”
Query Hunter: /product.name=”Check Point SSL Network Extender”
FOFA: title=”Check Point SSL Network Extender”
SHODAN: http.title=”Check Point SSL Network Extender”

Una vez instalada la revisión, los intentos de inicio de sesión que utilicen
credenciales y métodos de autenticación débiles se bloquearán automáticamente
y se creará un registro.

También se han puesto a disposición revisiones para las versiones al final de
su vida útil (EOL), pero deben descargarse y aplicarse manualmente.

Check Point creó una
página de preguntas frecuentes
con información adicional sobre CVE-2024-24919, firma IPS e instrucciones de
instalación manual de revisiones. Se recomienda a aquellos que no puedan
aplicar la actualización que mejoren su postura de seguridad actualizando la
contraseña de Active Directory (AD) que Security Gateway utiliza para la
autenticación.

Además, Check Point ha creado
un script
de validación de acceso remoto que se puede cargar en ‘SmartConsole’ y
ejecutar para revisar los resultados y tomar las acciones adecuadas.

Más información sobre cómo actualizar la contraseña de AD y usar el script
‘VPNcheck.sh’ está disponible en el
boletín de seguridad de Check Point.

Fuente:
BC

Leave Your Comment