安全研究人员于周四发出警告,指出与 Check Point Software VPN 客户相关的漏洞被利用的情况比之前披露的更为严重。 根据 Mnemonic 研究人员在更新的博客文章中表示,漏洞的利用始于四月下旬。
漏洞概述
该漏洞被列为 CVE-2024-24919,允许攻击者读取启用了远程访问 VPN 或移动访问的互联网连接网关上的信息。Check Point 表示,研究人员警告该漏洞允许黑客“枚举并提取所有本地账户的密码哈希”,包括用于连接 Active Directory 的账户。
潜在风险
攻击者可以利用弱密码来破坏用户账户,导致网络中的进一步滥用和横向移动。根据 Mnemonic 的说法,该漏洞使得攻击者能够检索本地文件系统上的所有文件,包括本地账户的密码哈希、SSH 密钥、证书和其他关键文件。
深入分析
WatchTowr 的研究人员对这一被称为路径遍历漏洞进行了深入分析,并成功获得了系统上的每个文件的访问权限。“这比厂商的建议所暗示的要强大得多,” WatchTowr 的研究人员在周四的博客文章中表示。
影响范围
Censys 数据显示,存在 108 个暴露于互联网的 CloudGuard 网络安全实例、1,021 个 Quantum 安全网关和 12,321 个 Quantum Spark 网关。网络安全和基础设施安全局(CISA)于周四将 CVE-2024-24919 添加到其已知利用的漏洞目录中。
厂商应对
Check Point 首次观察到威胁活动的迹象早在四月七日,公司的首席工作人员兼全球企业传播负责人 Gil Messing 告诉 Cybersecurity Dive。公司对于本周早些时候发布的热修复补丁表示信心,认为这是缓解该漏洞的最佳方法,但同时也认为情况“非常严重”,并敦促所有客户应用更新。
进一步建议
Check Point 还发布了缓解步骤和检测受损环境的说明。Rapid7 的研究人员敦促用户重置本地账户凭据,同时遵循厂商推荐的缓解措施。“由于过去几周观察到的活跃利用,以及入侵者横向移动的能力,这是一项重大威胁,” Rapid7 的威胁分析高级总监 Christian Beek 通过电子邮件表示。“我们还知道,许多公司要么没有实施,要么没有正确执行多因素认证,这进一步增加了厂商提供的热修复补丁应尽快应用的紧迫性。”
结论
面对 CVE-2024-24919 漏洞的严重性,用户和企业必须采取行动,确保系统安全。及时应用补丁和更新,重置密码,实施多因素认证,是降低风险的关键措施。保护您的网络安全,切勿掉以轻心。
