cybersecurity checkpoint news

Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919

Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919

Rezumat

CVE-2024-24919 este o vulnerabilitate de divulgare a informațiilor de gravitate ridicată care afectează firewall-urile Check Point. Această vulnerabilitate permite atacatorilor să citească și să descarce toate fișierele de pe un sistem vulnerabil, ceea ce poate duce la o compromitere gravă. Acțiunile imediate, cum ar fi actualizarea dispozitivelor, dezactivarea conturilor locale și rotirea parolelor, sunt esențiale pentru a reduce riscurile.

TL;DR

  • Vulnerabilitate: CVE-2024-24919 (scor CVSS 8.6)

  • Impact: Acces neautorizat la toate fișierele de pe dispozitivele Check Point

  • Mitigare: Actualizați dispozitivele, dezactivați conturile locale, rotiți parolele, activați jurnalizarea și implementați MFA

Introducere

Vulnerabilitatea recent descoperită în firewall-urile (gateway-urile) Check Point, urmărită ca CVE-2024-24919, este o vulnerabilitate de divulgare a informațiilor cu un scor CVSS ridicat de 8,6. Echipa Truesec CSIRT a analizat-o din perspectiva răspunsului la incidente pentru a înțelege mai bine impactul unui atac care valorifică această vulnerabilitate.

Prezentare generală a vulnerabilității

  • Tip: Bug de traversare a căii de acces

  • Efect: Acces neautorizat la toate fișierele de pe sistemul de operare Gaia al dispozitivelor Check Point afectate

  • Cerințe: Lamă de acces mobil sau lamă IPsec VPN activată și gateway în comunitatea VPN de acces la distanță

Faze de exploatare

Faza de exploatare (acces inițial)

Un atacator poate automatiza cu ușurință exploatarea pentru a găsi sisteme vulnerabile, a citi fișiere arbitrare și a colecta informații sensibile. Detectarea acestei faze este dificilă din cauza lipsei de urme substanțiale lăsate de exploit.

Detecție: Compromiterea inițială

Jurnalele Check Point Security Gateway nu captează în mod eficient solicitările web generate în timpul exploatării. Chiar și cu “Log Implied Rules” activat, distingerea traficului malițios rămâne dificilă.

Spargerea parolei

Parolele conturilor locale stocate în fwauth.NDB pot fi sparte cu ajutorul unor instrumente precum “hashcat” datorită lungimii lor limitate (maxim 8 caractere). Spargerea acestor parole poate facilita compromiterea ulterioară.

Faza de acces la rețea (punct de intrare)

Odată ce atacatorii obțin credențiale valide, le pot folosi pentru a accesa servicii publice și, eventual, pentru a intra în mediul de lucru prin SSL VPN. Jurnalele legate de accesul mobil pot ajuta la identificarea intrărilor suspecte.

Lateral Movement and Privilege Escalation Phase (Faza de mișcare laterală și escaladare a privilegiilor)

După ce obțin accesul prin SSL VPN, atacatorii sondează mediul pentru a găsi resurse interne pe care să le compromită. Aceste activități sunt înregistrate de către lama firewall Check Point, dar numai dacă înregistrarea este activată pentru regula corespunzătoare.

Pași de atenuare

  1. Investigați: Efectuați o investigație amănunțită dacă sunt găsite semne de compromitere suplimentară.

  2. Actualizare: Asigurați-vă că toate gateway-urile de securitate Check Point sunt actualizate cu cea mai recentă actualizare.

  3. Dezactivați conturile locale: Utilizați mecanisme de autentificare centralizate, cum ar fi LDAP.

  4. Rotați parolele: Schimbați toate parolele configurate sau stocate pe dispozitive și, dacă este posibil, schimbați și numele de utilizator.
  5. Activați jurnalizarea: Asigurați-vă că toate regulile au jurnalizarea activată și utilizați “Log Implied Rules” (Reguli implicite de jurnalizare) pentru a capta traficul relevant.

  6. Implementați MFA: Utilizați autentificarea cu mai mulți factori în combinație cu accesul la VPN.

  7. Acces restrâns: Limitați accesul utilizatorilor VPN la serverele interne.

  8. Monitorizare continuă: Implementați monitorizarea activă a securității punctelor finale, concentrându-vă asupra serverelor pentru a detecta și preveni intruziunile.

Concluzie

Urmând acești pași, organizațiile pot reduce riscul reprezentat de CVE-2024-24919 și își pot proteja mai bine Check Point Security Gateways și mediile interne de o potențială exploatare.

Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.

Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919
Stiri mai vechi

Vulnerabilitatea critică PHP (CVE-2024-4577) descoperită: Amenință serverele Windows cu executare de cod la distanță

Stiri mai noi

Vulnerabilitatea critică Git CVE-2024-32002 permite RCE în timpul clonării de depozit

Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919

Related

Vezi toate
cybersecurity news ivanti endpointmanager remotecodeexecution vulnerabilitate

O vulnerabilitate critică în Ivanti Endpoint Manager permite execuția de cod de la distanță

cybersecurity news remcosrat excel filelessmalware vulnerabilitate cve20170199

Remcos Remote Access Trojan, distribuit prin documente Excel

cybersecurity news malware android ajina bankingsecurity 2fa

Noul malware Android Ajina fură detalii bancare și interceptează mesaje 2FA

cybersecurity news dlink router vulnerabilitate remotecodeexecution hardcoded

Vulnerabilități critice afectează milioane de routere D-Link: actualizați acum!