最近,Check Point发布了针对VPN零日漏洞的热修复补丁,该漏洞在攻击中被利用,以获取对防火墙的远程访问并试图侵入企业网络。
漏洞概述
在周一,Check Point首次警告针对VPN设备攻击激增,并分享了管理员如何保护其设备的建议。随后,该公司发现问题的根源:一个黑客利用的零日漏洞。该漏洞被追踪为CVE-2024-24919,属于高危信息泄露漏洞,允许攻击者读取某些信息,这些信息存在于启用了远程访问VPN或移动访问软件刀片的Internet暴露的Check Point安全网关上。
“该漏洞可能允许攻击者读取在启用了远程访问VPN或移动访问的互联网连接网关上的某些信息,” Check Point在其之前的公告中更新道。
攻击背景
“我们迄今为止看到的尝试,正如在5月27日之前警告的那样,集中在使用不推荐的仅密码身份验证的旧本地账户的远程访问场景上。”
CVE-2024-24929影响以下产品:CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways和Quantum Spark Appliances,版本包括:R80.20.x、R80.20SP(EOL)、R80.40(EOL)、R81、R81.10、R81.10.x和R81.20。
解决方案
Check Point发布了以下安全更新以解决此漏洞:
- Quantum Security Gateway 和 CloudGuard Network Security: R81.20, R81.10, R81, R80.40
- Quantum Maestro 和 Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
- Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x
要应用更新,请前往安全网关门户 > 软件更新 > 可用更新 > 热修复更新,并点击“安装”。据供应商称,整个过程大约需要10分钟,并且需要重启。
更新后的防护措施
安装热修复后,使用弱凭据和身份验证方法的登录尝试将被自动阻止,并将生成日志。此外,Check Point还为过时版本(EOL)提供了热修复补丁,但必须手动下载和应用。
Check Point还创建了一个常见问题解答页面,提供关于CVE-2024-24919、IPS签名和手动安装热修复的额外信息。
安全建议
对于无法应用更新的用户,建议通过更新安全网关用于身份验证的Active Directory(AD)密码来增强安全防护。此外,Check Point还创建了一个远程访问验证脚本,可以上传到“SmartConsole”并执行,以检查结果并采取适当的措施。
有关更新AD密码和使用“VPNcheck.sh”脚本的更多信息,请参阅Check Point的安全公告。
其他相关信息
- Mitel MiCollab零日漏洞获得概念验证利用
- 黑客针对PTZ摄像头的关键零日漏洞
- 谷歌:2023年披露的被利用漏洞中有70%是零日漏洞
- Hunk Companion WordPress插件被利用安装易受攻击的插件
以上信息将帮助用户及时更新和保护其VPN设备,确保企业网络的安全。
