Saldırganlar, Check Point Güvenlik Ağ Geçitlerindeki sıfır gün güvenlik açığı olan CVE-2024-24919’u, yerel hesaplar için parola karmalarını belirlemek ve çıkarmak amacıyla kullanıyor ve daha sonra bunları hedef kuruluşların ağında yanal olarak hareket ettirmek için kullanıyor.
BT güvenlik hizmeti sağlayıcısı Mnemonic, “Güvenlik açığı özellikle kritik çünkü herhangi bir kullanıcı etkileşimi veya ayrıcalığı gerektirmiyor, bu da uzaktan istismarı kolaylaştırıyor” dedi ve CVE-2024-24919 istismarını da içeren çeşitli saldırılar gözlemlediklerini paylaştı.
CVE-2024-24919 Hakkında
Kusurun varlığı ve açık bir şekilde istismar edilmesi, Check Point tarafından Salı günü, güvenlik açığından bir gün sonra ortaya çıktı. Saldırganların “önerilmeyen yalnızca parola kimlik doğrulama yöntemine dayanan eski VPN yerel hesaplarını kullanarak” oturum açma girişiminde bulunduğu keşfedilen örnekler hakkında uyardı.
Şirket, bu girişimlerin kökeninde, saldırganların “uzaktan erişim VPN’si veya mobil erişim etkinken İnternet’e bağlı Ağ Geçitleri üzerindeki belirli bilgileri okumasına” olanak tanıyan sıfır gün olan CVE-2024-24919’un kötüye kullanılması olduğunu söyledi.
CVE-2024-24919’un, saldırganların sistemdeki HERHANGİ bir dosyayı okumasına yol açabilecek bir yol geçiş güvenlik açığı olduğu, ancak saldırganların bunu yerel hesaplar (Active Directory’ye bağlanmak için kullanılan hizmet hesapları dahil) için oturum açma kimlik bilgilerini çıkarmak için kullandığı ortaya çıktı. .
Check Point’e göre güvenlik açığı, Mobil Erişim Yazılımı Blade blade’i veya IPsec VPN Blade’i etkin olan tüm Check Point Güvenlik Ağ Geçitlerini etkiledi (ancak YALNIZCA Uzaktan Erişim VPN topluluğuna dahil edildiğinde).
Sıfır gün sömürüsü
Mnemonic, 30 Nisan 2024’ten beri müşteri ortamlarında istismar girişimlerini gözlemliyor. Check Point, “daha fazla araştırma, ilk istismar girişimlerinin 7 Nisan 2024’te başladığını ortaya çıkardı” ve “aktif olarak daha fazla araştırma yaptıklarını” söylüyor.
“Tehdit aktörlerinin, ntds.dit [the primary database file in Microsoft’s Active Directory Domain Services] Yerel bir kullanıcıyla oturum açtıktan sonra 2-3 saat içinde güvenliği ihlal edilmiş müşterilerden korunmaktır.
Potansiyel olarak ilk erişim aracısı olan saldırganlar, Visual Studio Code’u kötüye kullanarak bu veritabanına gizlice sızdılar trafik tüneli için.
Check Point, etkilenen çeşitli Güvenli Ağ Geçidi cihazları için düzeltmeler yayımladı ve müşterilere bunları mümkün olan en kısa sürede uygulamalarını tavsiye etti. Ayrıca, kuruluşların kullanımdaki Check Point ağ geçitlerinin güvenliğini artırmak için alabileceği bir dizi ekstra önlemin de ana hatlarını çizdiler.
Ayrıca saldırganlar tarafından hedef alınıp alınmadıklarını da kontrol etmeleri gerekiyor.
Mnemonic, saldırganların keşif ve istismar gerçekleştirdiği birkaç IP adresini paylaştı ve Check Point’in daha kapsamlı liste.Başarılı web yönetim panelinin ve söz konusu dönemde gerçekleştirilen SSH oturum açma işlemlerinin kontrol edilmesi.
Uzlaşmaya dair kanıt ortaya çıkarsa, daha derin bir soruşturma ve düzeltme yapılması gerekecektir.
Güvenlik açığı, CISA’nın Bilinen Yararlanılan Güvenlik Açıkları kataloğuna eklendi.
0 Yorumlar