Saldırganlar, Check Point Güvenlik Ağ Geçitlerindeki sıfır gün güvenlik açığı olan CVE-2024-24919’u, yerel hesaplar için parola karmalarını belirlemek ve çıkarmak amacıyla kullanıyor ve daha sonra bunları hedef kuruluşların ağında yanal olarak hareket ettirmek için kullanıyor.
BT güvenlik hizmeti sağlayıcısı Mnemonic, “Güvenlik açığı özellikle kritik çünkü herhangi bir kullanıcı etkileşimi veya ayrıcalığı gerektirmiyor, bu da uzaktan istismarı kolaylaştırıyor” dedi ve CVE-2024-24919 istismarını da içeren çeşitli saldırılar gözlemlediklerini paylaştı.
CVE-2024-24919 Hakkında
Kusurun varlığı ve kullanım alanı, Salı günü Check Point tarafından, saldırganların “tavsiye edilmeyen yalnızca parola kimlik doğrulama yöntemine dayanan eski VPN yerel hesaplarını kullanarak” oturum açma girişimleri yaptığı keşfedilen durumlar hakkında uyarıda bulunmalarından bir gün sonra ortaya çıktı. ”
Şirket, bu girişimlerin kökeninde, saldırganların “uzaktan erişim VPN’si veya mobil erişim etkinken İnternet’e bağlı Ağ Geçitleri üzerindeki belirli bilgileri okumasına” olanak tanıyan sıfır gün olan CVE-2024-24919’un kötüye kullanılması olduğunu söyledi.
Mnemonic ve Watchtowr Labs araştırmacıları, güvenlik açığı ve saldırılar hakkında daha fazla bilgi vererek bunu takip etti.
CVE-2024-24919’un, saldırganların sistemdeki HERHANGİ bir dosyayı okumasına yol açabilecek bir yol geçiş güvenlik açığı olduğu, ancak saldırganların bunu yerel hesaplar (Active Directory’ye bağlanmak için kullanılan hizmet hesapları dahil) için oturum açma kimlik bilgilerini çıkarmak için kullandığı ortaya çıktı. .
Check Point’e göre güvenlik açığı, Mobil Erişim Yazılımı Blade blade’i veya IPsec VPN Blade’i etkin olan tüm Check Point Güvenlik Ağ Geçitlerini etkiledi (ancak YALNIZCA Uzaktan Erişim VPN topluluğuna dahil edildiğinde).
Sıfır gün sömürüsü
Mnemonic, 30 Nisan 2024’ten bu yana müşteri ortamlarında istismar girişimlerini gözlemliyor. Check Point, “daha fazla araştırma, ilk istismar girişimlerinin 7 Nisan 2024’te başladığını ortaya çıkardı” ve “aktif olarak daha fazla araştırma yaptıklarını” söylüyor.
“Tehdit aktörlerinin, ntds.dit [the primary database file in Microsoft’s Active Directory Domain Services] Mnemonic, yerel bir kullanıcıyla oturum açtıktan sonra 2-3 saat içinde güvenliği ihlal edilmiş müşterilerden kurtulduğunu belirtti.
Potansiyel olarak bir ilk erişim aracısı olan saldırganlar, trafik tüneli oluşturmak için Visual Studio Code’u kötüye kullanarak bu veritabanına gizlice sızdılar.
Check Point, etkilenen çeşitli Güvenli Ağ Geçidi cihazları için düzeltmeler yayınladı ve müşterilere bunları mümkün olan en kısa sürede uygulamalarını tavsiye etti. Ayrıca, kuruluşların kullanımdaki Check Point ağ geçitlerinin güvenliğini artırmak için alabileceği bir dizi ekstra önlemin de ana hatlarını çizdiler.
Ayrıca saldırganlar tarafından hedef alınıp alınmadıklarını da kontrol etmeleri gerekiyor.
Mnemonic, saldırganların keşif ve istismar gerçekleştirdiği birkaç IP adresini paylaştı ve Check Point’in daha kapsamlı bir listesi var. Rapid7 araştırmacıları, başarılı web yönetim panelinin ve söz konusu dönemde gerçekleştirilen SSH oturum açma işlemlerinin kontrol edilmesini önerdi.
Uzlaşmaya dair kanıt ortaya çıkarsa, daha derin bir araştırma ve düzeltme yapılması gerekecektir.
Güvenlik açığı, CISA’nın Bilinen Suistimal Edilen Güvenlik Açıkları kataloğuna eklendi.