Οι κακόβουλοι παράγοντες εκμεταλλεύονται ένα υψηλής σοβαρότητας Check Point Remote Access VPN zero-day τουλάχιστον από τις 30 Απριλίου, κλέβοντας δεδομένα της υπηρεσίας καταλόγου Active Directory που απαιτούνται για να μετακινούνται πλευρικά στα δίκτυα των θυμάτων σε επιτυχημένες επιθέσεις.
Δείτε επίσης: Google Chrome: Διορθώνεται τέταρτο zero-day σε ένα μήνα
Η Check Point προειδοποίησε τους πελάτες τη Δευτέρα ότι οι εισβολείς στοχεύουν τις πύλες ασφαλείας τους χρησιμοποιώντας παλιούς τοπικούς λογαριασμούς VPN με μη ασφαλή έλεγχο ταυτότητας μόνο με κωδικό πρόσβασης.
Στη συνέχεια, η εταιρεία ανακάλυψε ότι οι hackers εκμεταλλεύονταν ένα ελάττωμα αποκάλυψης πληροφοριών (που παρακολουθείται ως CVE-2024-24919) σε αυτές τις επιθέσεις και κυκλοφόρησε επείγουσες επιδιορθώσεις για να βοηθήσει τους πελάτες να αποκλείσουν απόπειρες εκμετάλλευσης έναντι ευάλωτων Δικτύων CloudGuard, Quantum Maestro, Quantum Scalable Chassis, Quantum, και Quantum, Συσκευές Quantum Spark.
Μετά την εφαρμογή της επείγουσας επιδιόρθωσης που κυκλοφόρησε πρόσφατα, όλες οι προσπάθειες σύνδεσης που χρησιμοποιούν αδύναμα διαπιστευτήρια και μεθόδους ελέγχου ταυτότητας θα αποκλειστούν αυτόματα και θα καταγραφούν. Η Check Point παρέχει επίσης πρόσθετες πληροφορίες σχετικά με το CVE-2024-24919 και της επείγουσας επιδιόρθωσης σε αυτό το έγγραφο υποστήριξης.
Αξιοποιήθηκε σε επιθέσεις από τον Απρίλιο
Ενώ η Check Point κοινοποίησε ότι οι επιθέσεις με στόχο το zero-day ελάττωμα στο VPN της ξεκίνησαν γύρω στις 24 Μαΐου, η εταιρεία κυβερνοασφάλειας mnemonic προειδοποίησε σήμερα ότι παρατήρησε απόπειρες εκμετάλλευσης σε ορισμένα από τα περιβάλλοντα πελατών της από τις 30 Απριλίου.
Δείτε ακόμα: PoC exploit κυκλοφόρησε για RCE zero-day σε DIR-X4860 routers
Η εταιρεία πρόσθεσε ότι η ευπάθεια είναι «ιδιαίτερα κρίσιμη», επειδή είναι εύκολο να την εκμεταλλευτεί κανείς εξ αποστάσεως, καθώς δεν απαιτεί αλληλεπίδραση με τον χρήστη ή προνόμια σε πύλες ασφαλείας Check Point που έχουν υποστεί επίθεση με ενεργοποιημένα το Remote Access VPN και Mobile Access.
Εντοπίστηκαν hackers που εξάγουν το ntds.dit, μια βάση δεδομένων που αποθηκεύει δεδομένα Active Directory σε χρήστες, ομάδες, περιγραφείς ασφαλείας και κατακερματισμούς κωδικών πρόσβασης, από παραβιασμένους πελάτες εντός 2-3 ωρών από τη σύνδεση με έναν τοπικό χρήστη.
Η ευπάθεια Check Point VPN zero-day, έχει επίσης εκμεταλλευτεί για την εξαγωγή πληροφοριών που επέτρεπαν στους εισβολείς
να μετακινηθούν πλευρικά μέσα στο δίκτυο του θύματος και να κάνουν κακή χρήση του κώδικα του Visual Studio για τη διοχέτευση κακόβουλης κυκλοφορίας.Η mnemonic συμβουλεύει τους πελάτες της Check Point να ενημερώσουν αμέσως τα επηρεαζόμενα συστήματα στην ενημερωμένη έκδοση και να αφαιρέσουν τυχόν τοπικούς χρήστες σε ευάλωτες πύλες ασφαλείας.
Συνιστάται επίσης στους διαχειριστές να εναλλάσσουν κωδικούς πρόσβασης/λογαριασμούς για συνδέσεις LDAP από την πύλη προς την υπηρεσία καταλόγου Active Directory, να πραγματοποιούν αναζητήσεις μετά την ενημέρωση κώδικα στα αρχεία καταγραφής για ενδείξεις συμβιβασμού, όπως ανώμαλη συμπεριφορά και ύποπτες συνδέσεις και, εάν είναι διαθέσιμες, να ενημερώνουν την υπογραφή Check Point IPS για τον εντοπισμό προσπαθειών εκμετάλλευσης.
Δείτε επίσης: Microsoft: Διόρθωσε zero-day που χρησιμοποιούνταν για διανομή του QakBot (Qbot)
Ποιες είναι οι καλύτερες πρακτικές προστασίας από zero-days;
Η τακτική ενημέρωση και αναβάθμιση του λογισμικού είναι κρίσιμη για την προστασία από zero-day bugs, όπως αυτό του Check Point VPN. Η χρήση ενός ισχυρού και ενημερωμένου λογισμικού προστασίας από ιούς μπορεί να βοηθήσει στην ανίχνευση και αποτροπή κακόβουλου λογισμικού που εκμεταλλεύεται zero-day ευπάθειες. Η εφαρμογή πολιτικών ασφαλείας που περιορίζουν τα δικαιώματα πρόσβασης των χρηστών μπορεί να μειώσει τον κίνδυνο εκμετάλλευσης ευπαθειών. Η τακτική εκπαίδευση και ευαισθητοποίηση των χρηστών σχετικά με τις απειλές ασφαλείας και τις καλύτερες πρακτικές μπορεί να βοηθήσει στην αποτροπή επιθέσεων που εκμεταλλεύονται ανθρώπινα λάθη. Η χρήση τεχνολογιών sandboxing μπορεί να περιορίσει την επίδραση ενός zero-day bug, απομονώνοντας την εκτέλεση του κακόβουλου λογισμικού από το υπόλοιπο σύστημα. Τέλος, η παρακολούθηση και ανάλυση της δικτυακής κίνησης για ανωμαλίες μπορεί να βοηθήσει στην έγκαιρη ανίχνευση και απόκριση σε επιθέσεις που εκμεταλλεύονται zero-day ευπάθειες.
Πηγή: bleepingcomputer