Útočníci kradnú heslá do VPN cez zraniteľnosť v bezpečnostných bránach spoločnosti Check Point
Spoločnosť Check Point vydala bezpečnostné aktualizácie pre aktívne zneužívanú zraniteľnosť vedúcu k úniku citlivých informácií, zneužiteľných na prienik do siete a laterálny pohyb v nej. Zraniteľnosť zasahuje bezpečnostné brány Network Security Gateway s povolenými službami Remote Access VPN alebo Mobile Access. Útočníci môžu získať hashe hesiel používateľských účtov a prístup k Active Directory. Zneužitím exfiltrovaných údajov je možné dosiahnuť aj vzdialené vykonanie kódu.
Zraniteľné systémy:
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark
Verzie: R77.20 (EOL), R77.30 (EOL), R80.10 (EOL), R80.20 (EOL), R80.20.x, R80.20SP (EOL), R80.30 (EOL), R80.30SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, R81.20
Opis činnosti:
CVE-2024-24919 (CVSS 3.1 skóre 8,6)
Aktívne zneužívaná zraniteľnosť, ktorá umožňuje vzdialeným útočníkom získať citlivé informácie zo zraniteľných brán Check Point (Security Gateway) s povolenými službami Remote Access VPN alebo Mobile Access. Útočníci môžu získať neoprávnený prístup k všetkým súborom na súborovom systéme zariadenia, vrátane súborov obsahujúcich hashe hesiel lokálnych používateľských účtov, privátnych SSH kľúčov, certifikátov a ďalších súborov s citlivými údajmi. Zneužitím exfiltrovaných údajov je možné dosiahnuť aj vzdialené vykonanie kódu. Útočníci nepotrebujú oprávnenia, ani interakciu obete. Zameriavajú sa na staršie lokálne účty VPN chránené iba heslom, z ktorých dokážu získať hashe hesiel. Tieto môžu slúžiť aj ako servisné účty s prístupom do Active Directory.
Výskumníci spoločnosti watchTowr, ktorí zraniteľnosť analyzovali, dospeli k záveru, že chyba súvisí s nedostatočnou kontrolou požiadaviek HTTP POST, čo umožňuje prechod medzi adresármi a čítanie ľubovoľných súborov. Okrem úniku informácií môže viesť až k schopnosti vzdialene vykonávať kód.
Pri zaznamenaných útokoch získali útočníci prístup k súborom ntds.dit, obsahujúcim informácie o používateľoch v doméne, vrátane hashov hesiel ich doménových účtov. Dokázali sa tiež laterálne pohybovať po sieti a zneužili Visual Studio Code pre prenos škodlivých požiadaviek.
Spoločnosť Check Point vydala hotfix, ktorý automaticky blokuje a loguje pokusy o prihlásenie pomocou slabých hesiel.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Únik citlivých informácií
- Prienik do siete
- Vzdialené vykonávanie kódu
Odporúčania:
Výrobca odporúča nasadiť hotfix pre zraniteľné verzie a vykonať mitigačné opatrenia, ktoré popisuje na svojom webe. Okrem iného viaceré zdroje odporúčajú:
- odstrániť lokálnych používateľov na zraniteľných zariadeniach,
- pokiaľ tieto kontá potrebujete, pridajte k heslu ďalší faktor pre autentifikáciu,
- vynútiť zmeny hesiel,
- skontrolovať prístupové logy na prípadnú kompromitáciu. Skorelovať prihlásenia heslom s aktivitou môžete napríklad v SmartConsole dopytom action:”Log In” AND auth_method:Password AND blade:”Mobile Access”.
Zdroje:
https://support.checkpoint.com/results/sk/sk182336
https://blog.checkpoint.com/security/enhance-your-vpn-security-posture
https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/