Zero-day w Check Point VPN – można uzyskać zdalny dostęp

Wzrost ataków na usługi VPN

Przypominamy, że w połowie kwietnia 2024 r. Cisco Talos ostrzegło o globalnym wzroście liczby ataków typu brute force na usługi VPN, interfejsy uwierzytelniania aplikacji internetowych i usługi SSH.

Celem tych ataków były urządzenia firm Cisco, Check Point, Fortinet i Sonicwall (VPN), a także MiktroTik, Draytek i Ubiquiti.

Próby pochodziły z adresów IP powiązanych z usługami proxy i obejmowały kombinacje najbardziej prawdopodobnych nazw użytkowników i popularnych haseł, takich jak „Passw0rd”, „qwerty”, „test123” itp.

Wykorzystywane nazwy użytkowników należay do jednej z kilku kategorii:

• inicjały imion + nazwiska pospolite, np. „cwilliams”, „jgarcia”, „msmith”,
• popularne imiona, takie jak „Mary”, „Brian”, „Leon” itp.,
• słowa związane z rolą/usługą: „test.user”, „superadmin”, „cloud”, „ftpadmin”, „backupuser”, „vpn” itp.

Obecnie Check Point twierdzi, że był ostatnio także świadkiem naruszeń rozwiązań VPN, w tym rozwiązań różnych dostawców cyberbezpieczeństwa.

„W świetle tych wydarzeń monitorujemy próby uzyskania nieautoryzowanego dostępu do VPN klientów Check Point. Do 24 maja 2024 r. wykryliśmy niewielką liczbę prób logowania przy użyciu starych kont lokalnych VPN, opartych na niezalecanej metodzie uwierzytelniania opartego wyłącznie na haśle”.

Co wiemy o luce CVE-2024-24919 w Check Point VPN?

Luka oznaczona jako CVE-2024-24919 umożliwia atakującym uzyskanie nieautoryzowanego dostępu do poufnych informacji w bramach internetowych z włączonym zdalnym dostępem VPN lub dostępem mobilnym.

Błąd wykryto po raz pierwszy po gwałtownym wzroście ataków na urządzenia VPN. 27 maja 2024 r. Check Point ostrzegał klientów o atakach wykorzystujących stare konta lokalne VPN ze słabymi metodami uwierzytelniania, opartymi wyłącznie na haśle. Później firma zidentyfikowała główną przyczynę jako lukę dnia zerowego CVE-2024-24919, która była wykorzystywana co najmniej od 30 kwietnia 2024 r.

Należy pamiętać, że atakujący hakują punkty styku z infrastrukturą wewnętrzną klientów (takie jak VPN) w celu wykorzystania tego dostępu do odkrywania i przechodzenia do innych zasobów i użytkowników przedsiębiorstwa oraz uzyskania trwałości w środowiskach korporacyjnych. Stwarza to poważne ryzyko dla bezpieczeństwa.

Produkty, których dotyczy problem

Luka dotyczy kilku produktów Check Point, w tym:

• CloudGuard Network,
• Quantum Maestro,
• Quantum Scalable Chassis,
• Quantum Security Gateways,
• Quantum Spark Appliances.

Wersje, których dotyczy problem, to R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x i R81.20.

WatchTowr Labs stwierdziło, że luka umożliwia atakującym dostęp do określonych informacji na temat zaatakowanych bram, potencjalnie umożliwiając im odzyskanie skrótów haseł i innych wrażliwych danych.

Poprawki od Check Point

Producent udostępnił poprawki dla produktów, których dotyczy problem. Można uzyskać je za pośrednictwem portalu Security Gateway. Proces trwa około 10 minut i wymaga ponownego uruchomienia komputera.

Po instalacji próby logowania przy użyciu słabych danych uwierzytelniających będą blokowane i automatycznie rejestrowane.

Osobom, które nie mogą zastosować poprawki natychmiast, Check Point zaleca zwiększenie bezpieczeństwa poprzez aktualizację haseł usługi Active Directory i użycie skryptu sprawdzającego dostęp zdalny (dostępny w witrynie pomocy technicznej).

Ponadto administratorom zaleca się zmianę haseł do połączeń LDAP i monitorowanie dzienników pod kątem oznak naruszenia bezpieczeństwa.

Wykorzystanie CVE-2024-24919 podkreśla krytyczną potrzebę stosowania niezawodnych praktyk bezpieczeństwa oraz terminowych aktualizacji.

Zapobieganie podobnym atakom w przyszłości

Dobra wiadomość jest taka, że ryzyko takich ataków można łatwo zminimalizować poprzez:

• wyłączanie kont lokalnych (jeśli nie są używane),
• dodanie kolejnej warstwy uwierzytelniania (np. certyfikatów) lub
• instalowanie poprawki blokującej użytkownikom wewnętrznym możliwość logowania się do usługi Remote Access VPN przy użyciu hasła jako jedynego czynnika uwierzytelniającego.

„Uwierzytelnianie wyłącznie za pomocą hasła jest uważane za niekorzystną metodę zapewnienia najwyższego poziomu bezpieczeństwa i zalecamy, aby nie polegać na tym podczas logowania do infrastruktury sieciowej” – stwierdził Check Point i zaoferował dodatkowe porady, jak poprawić bezpieczeństwo VPN.

Zachęcamy klientów do natychmiastowego zastosowania łatek i stosowania zalecanych środków bezpieczeństwa w celu ochrony swoich sieci przed dalszymi atakami.