简介
Check Point 最近发出警告,指出其网络安全网关产品存在一个零日漏洞,该漏洞已被攻击者在实际环境中利用。该漏洞被追踪为 CVE-2024-24919,其 CVSS 分数为 8.6,影响 CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways 和 Quantum Spark 设备。
漏洞详情
Check Point 表示:“该漏洞可能允许攻击者读取在启用远程访问 VPN 或移动访问的互联网连接网关上的某些信息。”目前已有热修复程序可用于以下版本:
- Quantum Security Gateway 和 CloudGuard 网络安全版本:R81.20、R81.10、R81、R80.40
- Quantum Maestro 和 Quantum Scalable Chassis:R81.20、R81.10、R80.40、R80.30SP、R80.20SP
- Quantum Spark 网关版本:R81.10.x、R80.20.x、R77.20.x
攻击背景
这一发展发生在以色列网络安全公司警告其 VPN 设备遭受攻击以渗透企业网络后的几天。Check Point 之前提到:“截至 2024 年 5 月 24 日,我们发现少量登录尝试使用旧的 VPN 本地账户,依赖不推荐的仅密码认证方法。”
这一问题与在具有 IPSec VPN、远程访问 VPN 和移动访问软件刀片的安全网关中发现的新的高危零日漏洞有关。Check Point 并未详细说明攻击性质,但在常见问题解答中指出,迄今为止观察到的利用尝试主要集中在“针对少量客户的旧本地账户的远程访问上,这些账户依赖不推荐的仅密码认证。”
VPN 设备的攻击趋势
针对 VPN 设备的攻击仅是近年来针对网络边缘应用的一系列攻击中的最新一例,类似的入侵事件也影响了 Barracuda Networks、Cisco、Fortinet、Ivanti、Palo Alto Networks 和 VMware 的设备。Check Point 表示:“攻击者动机是通过远程访问设置获得组织的访问权限,以便尝试发现相关的企业资产和用户,寻找漏洞以便在关键企业资产上获得持久性。”
漏洞利用尝试
根据网络安全公司 mnemonic 发布的建议,该公司表示,自 2024 年 4 月 30 日以来,已观察到涉及 CVE-2024-24919 的利用尝试,目标是其客户环境。该公司指出:“该漏洞被认为是关键的,因为它允许未经授权的行为者从连接到互联网的网关中提取信息。”该漏洞允许攻击者枚举和提取所有本地账户的密码哈希,包括用于连接 Active Directory 的账户。
漏洞影响范围
根据攻击表面管理公司 Censys 的数据,截至 2024 年 5 月 31 日,观察到有 13,802 个互联网主机暴露了 CloudGuard 实例、Quantum Security 或 Quantum Spark 网关。CVE-2024-24919 被描述为信息泄露漏洞,但 watchTowr Labs 发现它实际上是一个路径遍历缺陷,可能使攻击者突破当前目录的限制(“CSHELL/”),并读取包括敏感信息在内的任意文件,如 /etc/shadow。
安全建议
安全研究员 Aliz Hammond 表示:“Check Point 的声明似乎在淡化此漏洞的严重性。由于该漏洞已被真实攻击者在实际环境中利用,因此将其视为低于完全未经认证的 RCE 是危险的,设备管理员应尽快进行更新。”
Check Point 在其更新的建议中表示,首次利用尝试始于 2024 年 4 月 7 日,目前正在进一步调查此事。威胁情报公司 GreyNoise 也表示:“由于公开的概念验证已经出现,利用情况迅速增加,我们建议尽快修补 Check Point。”
结论
随着网络攻击手段的不断演变,企业需要保持警惕,及时更新其网络安全产品,以防止潜在的安全威胁。确保系统及时更新和打补丁,是保护企业数据安全的关键措施之一。
如果您对本文感兴趣,请关注我们的 Twitter 和 LinkedIn,获取更多独家内容。
