Perşembe günü güvenlik araştırmacıları, Check Point Software VPN müşterilerine yönelik saldırılarla bağlantılı olarak istismar edilen bir güvenlik açığının, güvenlik açığından çok daha ciddi olduğu konusunda uyardı. daha önce açıklandı. Mnemonic araştırmacıları Cuma günü yaptığı açıklamada, sömürünün Nisan ayı sonlarında başladığını söyledi. güncellenmiş blog yazısı.
Olarak listelenen güvenlik açığı CVE-2024-24919Check Point’e göre, saldırganların uzaktan erişim VPN’si veya mobil erişim etkinken internete bağlı ağ geçitlerindeki bilgileri okumasına olanak tanıyor.
Ancak Mnemonic’teki araştırmacılar, güvenlik açığının bir bilgisayar korsanının Active Directory’ye bağlanmak için kullanılan hesaplar da dahil olmak üzere “tüm yerel hesaplar için şifre karmalarını numaralandırmasına ve çıkarmasına” izin verdiği konusunda uyardı.
Bir tehdit aktörü, zayıf parolalara sahip kullanıcı hesaplarını tehlikeye atabilir ve bu da ağ içinde daha fazla kötüye kullanıma ve yanal harekete yol açabilir.
Mnemonic’e göre güvenlik açığı, bir tehdit aktörünün yerel hesaplar için parola karmaları, SSH anahtarları, sertifikalar ve diğer kritik dosyalar da dahil olmak üzere yerel dosya sistemindeki tüm dosyaları almasına olanak tanıyor.
WatchTowr’daki araştırmacılar, yol geçişi güvenlik açığı olarak nitelendirdikleri şeyin derinlemesine bir analizini yaptı ve istismarın ardından sistemdeki her dosyaya başarıyla erişim sağladı.
WatchTowr araştırmacıları “Bu, satıcı tavsiyelerinin ima ettiğinden çok daha güçlü” diyor perşembe günü yayınlanan bir blog yazısında şöyle söylendi.
Censys verileri gösteriyor 108 internete açık CloudGuard Network Security örneği1.021 Quantum Güvenlik Ağ Geçidi ve 12.321 Quantum Spark ağ geçidi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Perşembe günü CVE-2024-24919’u bilinen istismar edilen güvenlik açıkları kataloğuna ekledi.
Şirketin personel şefi ve küresel kurumsal iletişim başkanı Gil Messing, Cybersecurity Dive’a verdiği demeçte, Check Point’in tehdit faaliyeti belirtilerini ilk kez 7 Nisan gibi erken bir zamanda gözlemlediğini söyledi.
Şirket, bu hafta başında yayımlanan düzeltmenin güvenlik açığını azaltmanın en iyi yolu olduğuna inanıyor ancak durumu “çok ciddi” olarak değerlendiriyor ve tüm müşterilerini güncellemeyi uygulamaya çağırıyor.
Check Point de yayınlandı Azaltma adımları ve talimatları Güvenliği ihlal edilmiş ortamları tespit etmek için.
Rapid7 araştırmacıları, satıcının önerdiği hafifletme önlemlerine uymanın yanı sıra kullanıcıları yerel hesap kimlik bilgilerini sıfırlamaya çağırıyor.
Rapid7’nin tehdit analitiği kıdemli direktörü Christian Beek, e-posta yoluyla şunları söyledi: “Bu, son birkaç haftadır gözlemlenen aktif istismarın yanı sıra davetsiz misafirlerin yatay hareket etme kapasitesi nedeniyle önemli bir tehdittir.” “Ayrıca birçok şirketin çok faktörlü kimlik doğrulamayı uygulamadığını veya gerektiği gibi zorunlu kılmadığını da biliyoruz, bu da satıcı tarafından sağlanan düzeltmelerin uygulanmasının aciliyetini artırıyor.