引言
在最近几天,针对Check Point VPN技术的一项信息泄露漏洞的利用活动急剧增加,这使得组织必须立即解决这一漏洞。该漏洞被标识为CVE-2024-24919,影响了多个版本的Check Point CloudGuard网络、Quantum Maestro、Quantum可扩展底盘、Quantum安全网关和Quantum Spark设备的软件。所有受影响的产品均为具有IPsec VPN功能的Check Point安全网关。
危险漏洞
Check Point警告称,该漏洞允许攻击者访问安全网关中的敏感信息,在某些情况下,这可能使他们在被攻陷的网络中横向移动并获得域管理员权限。Check Point于5月28日披露了该漏洞,并提供了修复程序,因应报告显示存在活跃的利用尝试。Check Point表示,利用活动自4月初开始,几乎在披露前两个月就已经开始。
大规模利用尝试
本周发布的一份报告显示,互联网流量扫描公司Greynoise检测到,自5月31日以来,针对CVE-2024-24919的利用尝试迅速增加,正值该漏洞的概念验证公开发布不久。根据Greynoise的说法,最初的利用尝试实际上是在前一天从一个位于台湾的IP地址发起的,但该尝试没有成功。
全球范围内的攻击
第一波真正的利用尝试源自一个位于纽约的IP地址。到6月5日,Greynoise检测到全球多达782个IP地址正在针对该漏洞进行攻击。“随着公开概念验证的发布,以及利用活动的迅速增加,我们建议尽快修补Check Point的产品,”Greynoise指出。
受影响系统的曝光
本周早些时候,Censys扫描发现大约13,754个暴露于互联网的系统运行着Check Point识别的至少一个受CVE-2024-24919影响的软件产品。大约12,100个暴露的主机是Check Point Quantum Spark网关设备,约1,500个是Quantum安全网关,还有137个是Check Point CloudGuard设备。在这些暴露的主机中,超过6,000个位于日本。其他暴露Check Point设备较高的国家包括意大利(1,012)、美国(917)和以色列(845)。
漏洞的易发现性和易利用性
分析Check Point漏洞的WatchTowr研究人员表示,该漏洞的发现并不困难,且“极易利用”。Check Point将该漏洞在CVSS评分中评定为8.6(满分10),并指出针对该漏洞的利用涉及低复杂性、无需用户交互和无特殊用户权限。
CISA的警告
美国网络安全和基础设施安全局(CISA)已将CVE-2024-24919添加到其已知利用漏洞的目录中。所有联邦政府的执行部门必须在6月20日之前,采取Check Point推荐的缓解措施,或在修复之前停止使用受影响的产品。CISA及其他组织(如FBI和NSA)过去曾多次警告VPN和其他安全接入技术中的漏洞对组织构成高风险,因为攻击者近年来频繁针对这些漏洞。
解决方案
Check Point建议受影响的组织安装其最新的Jumbo Hotfix Accumulators以解决安全漏洞。无法立即部署Jumbo Hotfix Accumulator的组织应安装CVE-2024-24919的安全热修复程序。根据安全供应商的建议,组织应在任何受影响的安全网关和启用IPSec VPN软件刀片功能的集群上安装该热修复程序,或启用移动访问软件刀片功能时进行安装。
结论
“这是一个正在积极利用的关键漏洞,”Censys警告。然而,该公司指出,还有一些缓解因素。首先,该漏洞仅影响具有特定配置的网关。此外,“成功利用并不一定意味着完整的设备被攻陷;还需要其他情况的存在,如设备本地文件系统上暴露的密码文件。”
关于作者
Jai Vijayan,特约撰稿人
Jai Vijayan是一位经验丰富的技术记者,拥有超过20年的IT行业新闻经验。他最近担任《Computerworld》的高级编辑,报道信息安全和数据隐私问题。在《Computerworld》的20年职业生涯中,Jai还涉及了大数据、Hadoop、物联网、电子投票和数据分析等多种技术主题。在加入《Computerworld》之前,Jai在印度班加罗尔的《经济时报》报道技术问题。Jai拥有统计学硕士学位,现居于伊利诺伊州的Naperville。
保持关注最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每天或每周直接送达您的邮箱。
