Hackers vem explorado uma vulnerabilidade zero-day de alta gravidade no Check Point Remote Access VPN desde pelo menos 30 de abril, roubando dados do Active Directory, necessários para realizar a movimentação lateral nas redes das vítimas em ataques bem-sucedidos.
A Check Point alertou seus clientes na segunda-feira que os hackers estão visando os gateways utilizando contas locais antigas de VPN com autenticação insegura de apenas por senha.
A empresa descobriu que os hackers estavam explorando uma falha de divulgação de informações (identificada como CVE-2024-24919) nesses ataques e lançou hotfixes para ajudar os clientes a bloquearem tentativas de exploração contra os dispositivos vulneráveis no CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways e Quantum Spark.
"A vulnerabilidade potencialmente permite que um atacante leia certas informações em Gateways conectados à Internet com VPN de acesso remoto ou com o mobile access habilitado", explicou a Check Point em um comunicado.
"As tentativas que vimos até agora, como alertado anteriormente em 27 de maio, focam em cenários de acesso remoto com contas locais antigas usando autenticação apenas por senha, oque não é recomendado."
Após aplicar o hotfix que foi lançado hoje, todas as tentativas de login usando credenciais fracas e métodos de autenticação inseguros serão automaticamente bloqueadas e registradas. A Check Point também fornece informações adicionais sobre o CVE-2024-24919 e instruções de instalação do hotfix neste documento de suporte.
Embora a Check Point tenha informado que os ataques visando o CVE-2024-24919 como um zero-day começaram por volta de 24 de maio, a empresa de cibersegurança mnemonic alertou hoje que observou tentativas de exploração em alguns de seus ambientes de clientes desde 30 de abril.
A empresa acrescentou que a vulnerabilidade é "particularmente crítica" porque é fácil de explorar remotamente, pois não requer interação do usuário ou privilégios nos gateways da Check Point.
"A vulnerabilidade permite que um hacker enumere e extraia hashes de senha para todas as contas locais, incluindo a conta usada para se conectar ao Active Directory. A dimensão completa dos danos ainda é desconhecida", alertou a empresa.
"No entanto, sabe-se que hashes de senha de usuários locais legados com autenticação apenas por senha podem ser extraídos, incluindo contas de serviço usadas para se conectar ao Active Directory. Senhas fracas podem ser comprometidas, levando a mais uso indevido e potencial movimento lateral dentro da rede."
Observou-se que os hackers extraem o ntds.dit, um banco de dados que armazena dados do Active Directory sobre usuários, grupos, descritores de segurança e hashes de senha, de clientes comprometidos dentro de 2-3 horas após fazer o login com um usuário local.
A vulnerabilidade também foi explorada para extrair informações que permitiram aos atacantes mover-se lateralmente dentro da rede da vítima e utilizar indevidamente o Visual Studio Code para tunelamento de tráfego malicioso.
A mnemonic aconselha os clientes da Check Point a atualizarem imediatamente os sistemas afetados para a versão corrigida e removerem quaisquer usuários locais nos gateways.
Os administradores também são recomendados a rotacionar senhas/contas para conexões LDAP do gateway para o Active Directory, realizar buscas pós-patch nos logs em busca de sinais de comprometimento, como comportamento anômalo e logins suspeitos, e, se disponível, atualizar a assinatura IPS da Check Point para detectar tentativas de exploração.
Via - BC
Opmerkingen