Обновите Check Point VPN: хакеры воруют базы данных Active Directory

Компания Check Point сообщила, что злоумышленники с конца апреля активно эксплуатируют критическую уязвимость в системе удаленного доступа Check Point VPN , которая позволяет похищать данные Active Directory для дальнейшего распространения внутри сетей жертв.

27 мая Check Point предупредила своих клиентов, что атаки направлены на их системы безопасности через устаревшие локальные VPN-аккаунты с ненадежной аутентификацией на основе паролей.

В ходе дальнейшего расследования выяснилось, что хакеры использовали уязвимость раскрытия информации CVE-2024-24919 (оценка CVSS 3.1: 7.5) для осуществления атак. Компания выпустила исправления, чтобы помочь клиентам блокировать попытки эксплуатации уязвимых сетей CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways и Техника Quantum Spark.

В обновленном уведомлении Check Point объяснила, что данная уязвимость позволяет атакующему читать определенную информацию на подключенных к Интернету шлюзах с включенным удаленным доступом VPN или мобильным доступом. Зафиксированные попытки атак в основном направлены на удаленные сценарии доступа через старые локальные аккаунты с нерекомендуемой аутентификацией по паролю.

После установки исправления, все попытки входа с использованием слабых учетных данных и методов аутентификации будут автоматически блокироваться и регистрироваться в журнале.

Хотя Check Point сообщила, что атаки, нацеленные на CVE-2024-24919, начались около 24 мая, ИБ-компания mnemonic заявила, что наблюдала попытки эксплуатации уязвимости в сетях своих клиентов с 30 апреля. В компании отметили, что данная уязвимость «особенно критична» из-за лёгкости удалённой эксплуатации, так как не требует взаимодействия с пользователем или каких-либо привилегий на атакуемых устройствах Check Point.

По данным mnemonic, уязвимость позволяет злоумышленникам извлекать хэши паролей для всех локальных аккаунтов, включая учетные записи, используемые для подключения к Active Directory. Слабые пароли могут быть взломаны, что приведет к дальнейшему неправильному использованию и возможному боковому перемещению внутри сети.

Было замечено, что злоумышленники извлекали ntds.dit, базу, в которой хранятся данные Active Directory о пользователях, группах, дескрипторах безопасности и хэшах паролей, из скомпрометированных систем в течение 2–3 часов после входа в систему с помощью локального пользователя.

Уязвимость также использовалась для извлечения информации, которая позволяла злоумышленникам перемещаться внутри сети жертвы и злоупотреблять кодом Visual Studio для туннелирования вредоносного трафика.

mnemonic советует клиентам Check Point немедленно обновить затронутые системы до исправленной версии и удалить всех локальных пользователей на уязвимых шлюзах безопасности. Администраторам также рекомендуется сменить пароли и учетные записи для LDAP-соединений с Active Directory, провести анализ журналов на предмет признаков компрометации, таких как аномальное поведение и подозрительные попытки входа, и, если возможно, обновить сигнатуры IPS Check Point для обнаружения попыток эксплуатации.