Злоумышленники атакуют Check Point Remote Access VPN в рамках кампании по взлому корпоративных сетей. Разработчики уже выпустили экстренный патч для 0-day уязвимости.
Remote Access («Удаленный доступ») интегрирован во все сетевые брандмауэры Check Point. Его можно настроить как client-to-site VPN, для доступа к корпоративным сетям через VPN-клиенты, и как SSL VPN Portal для веб-доступа.
Check Point предупредила, что злоумышленники атакуют шлюзы со старыми локальными аккаунтами и небезопасной аутентификацией только по паролю, тогда как для предотвращения потенциальной компрометации для аутентификации следует использовать сертификаты.
«В последнее время наблюдаем атака на VPN-решения различных производителей систем кибербезопасности. В свете этих событий мы отслеживали попытки несанкционированного доступа к VPN клиентов Check Point. По состоянию на 24 мая 2024 года мы выявили некоторое количество попыток входа в систему с использованием старых локальных учетных записей VPN, полагающихся на нерекомендованный метод аутентификации только по паролю, — говорится в сообщении компании. — Мы зафиксировали три таких попытки, и позже, когда наши специалисты проанализировали их, мы обнаружили схожий паттерн и других попытки аналогичных атак».
Для защиты от этих атак Check Point рекомендовала клиентам проверить наличие уязвимых учетных записей в продуктах Quantum Security Gateway и CloudGuard Network Security, а также на программных блейдах Mobile Access и Remote Access VPN.
Также клиентам настоятельно советовали изменить метод аутентификации на более безопасный или удалить уязвимые локальные учетные записи из базы данных Security Management Server.
Позже компания выпустила экстренный патч для Security Gateway, который блокирует аутентификацию всех локальных учетных записей с помощью пароля, а проблема была признана 0-day уязвимостью и получила идентификатор CVE-2024-24919. После установки этого исправления локальные учетные записи со слабой аутентификацией не смогут осуществить вход.
В компании пояснили, что баг позволял злоумышленникам считывать определенную информацию на шлюзах Check Point Security Gateways со включенным Remote Access VPN или Mobile Access Software Blades.
CVE-2024-24929 затрагивает CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Quantum Spark Appliances в версиях R80.20.x, R80.20SP (поддержка прекращена), R80.40 (поддержка прекращена), R81, R81.10, R81.10.x и R81.20. При этом патчи доступны даже для версий, поддержка которых уже закончилась, но их придется загружать и устанавливать вручную.
