Önde gelen bir siber güvenlik satıcısı olan Check Point, VPN ürünlerinde tehdit aktörlerinin aktif olarak istismar ettiği kritik bir sıfır gün güvenlik açığını gidermek için acil durum yamaları yayınladı.
CVE-2024-24919 olarak takip edilen güvenlik açığı, saldırganların uzaktan erişim VPN’si veya mobil erişim etkinken internete bağlı ağ geçitlerindeki hassas bilgilere yetkisiz erişim sağlamasına olanak tanıyor.
Güvenlik açığı ilk olarak VPN cihazlarını hedef alan saldırıların arttığı bir dönemde tespit edildi. Check Point, ilk olarak 27 Mayıs 2024’te müşterileri, eski VPN yerel hesaplarını zayıf, yalnızca parola içeren kimlik doğrulama yöntemleriyle kullanan bu saldırılar konusunda uyardı.
Hepsi Bir Arada Siber Güvenlik Platformu MSP’lerin tek bir araçla tam ihlal koruması sağlaması için Tam Demoyu İzleyin
Şirket daha sonra temel nedeni, en az 30 Nisan 2024’ten bu yana istismar edilen sıfır gün kusuru CVE-2024-24919 olarak belirledi.
Etkilenen Ürünler
Güvenlik açığı, aşağıdakiler de dahil olmak üzere çeşitli Check Point ürünlerini etkiliyor:
- CloudGuard Ağı
- Maestro kadar
- Kuantum Ölçeklenebilir Kasa
- Kuantum Güvenlik Ağ Geçitleri
- Kuantum Kıvılcım Aletleri
Etkilenen sürümler arasında R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x ve R81.20 bulunmaktadır.[4][5][7].
WatchTowr Labs, güvenlik açığının saldırganların ele geçirilen ağ geçitlerindeki belirli bilgilere erişmesine olanak sağladığını ve potansiyel olarak şifre karmalarını ve diğer hassas verileri almalarına olanak sağladığını belirtti.
Bu, kurbanın ağı içinde yanal harekete olanak tanıyarak önemli güvenlik riskleri oluşturabilir. Özellikle saldırganların Active Directory verilerini çıkardıkları ve kötü amaçlı trafiği tünellemek için Visual Studio Code’u kullandıkları gözlemlendi.
Düzeltme ve Azaltmalar
Check Point, etkilenen ürünler için Security Gateway portalı aracılığıyla uygulanabilecek düzeltmeler yayımladı. İşlem yaklaşık 10 dakika sürer ve yeniden başlatma gerektirir.
Kurulumdan sonra, zayıf kimlik bilgileri kullanılarak yapılan oturum açma girişimleri otomatik olarak engellenecek ve günlüğe kaydedilecektir.
Düzeltmeyi hemen uygulayamayanlar için Check Point, Active Directory parolalarını güncelleyerek ve destek sitelerinde bulunan uzaktan erişim doğrulama komut dosyasını kullanarak güvenliği artırmanızı önerir.
Ek olarak, yöneticilere LDAP bağlantıları için şifreleri dönüşümlü olarak kullanmaları ve güvenlik ihlali işaretleri açısından günlükleri izlemeleri tavsiye edilir.
CVE-2024-24919’un kullanılması, sağlam güvenlik uygulamalarına ve zamanında güncellemelere olan kritik ihtiyacın altını çiziyor.
Müşterilerden, ağlarını daha sonraki saldırılara karşı korumak için yamaları derhal uygulamaları ve önerilen güvenlik önlemlerini takip etmeleri isteniyor.
ANY.RUN Sandbox’tan özel teklifler alın. 31 Mayıs’a kadar 6 aylık ücretsiz hizmet veya ekstra lisans alın. Ücretsiz kaydol.