Les auteurs de menaces exploitent un point de contrôle de haute gravité VPN d’accès à distance zero-day depuis au moins le 30 avril, volant les données Active Directory nécessaires pour se déplacer latéralement à travers les réseaux des victimes lors d’attaques réussies.

Check Point a averti ses clients lundi que les attaquants ciblaient leurs passerelles de sécurité en utilisant d’anciens comptes VPN locaux avec une authentification non sécurisée par mot de passe uniquement.

La société a par la suite découvert que les pirates exploitaient une faille de divulgation d’informations (identifiée comme CVE-2024-24919) dans ces attaques et a publié des correctifs pour aider les clients à bloquer les tentatives d’exploitation contre le réseau CloudGuard vulnérable, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways et Quantum Spark appliances.

« La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet avec un VPN d’accès à distance ou un accès mobile activé », a expliqué Check Point dans une mise à jour de l’avis initial.

« Les tentatives que nous avons vues jusqu’à présent, comme précédemment alertées le 27 mai, se concentrent sur des scénarios d’accès à distance avec d’anciens comptes locaux avec une authentification par mot de passe uniquement non recommandée. »

Après l’application du correctif publié aujourd’hui, toutes les tentatives de connexion utilisant des informations d’identification et des méthodes d’authentification faibles seront bloquées automatiquement et consignées. Check Point fournit également des informations supplémentaires sur CVE-2024-24919 et des instructions d’installation du correctif logiciel dans ce document d’assistance.

Exploité dans des attaques depuis avril
Alors que Check Point a partagé que les attaques ciblant CVE-2024-24919 en tant que jour zéro ont commencé vers le 24 mai, la société de cybersécurité mnemonic a averti aujourd’hui qu’elle avait observé des tentatives d’exploitation dans certains de ses environnements clients depuis le 30 avril.

La société a ajouté que la vulnérabilité est « particulièrement critique » car elle est facile à exploiter à distance car elle ne nécessite aucune interaction de l’utilisateur ni aucun privilège sur les passerelles de sécurité Check Point attaquées avec VPN d’accès à distance et Accès Mobile activés.

« La vulnérabilité permet à un auteur de menace d’énumérer et d’extraire les hachages de mot de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory. L’ampleur des conséquences est encore inconnue », a averti la société.

« Cependant, il est connu que les hachages de mot de passe des utilisateurs locaux hérités avec authentification par mot de passe uniquement peuvent être extraits, y compris les comptes de service utilisés pour se connecter à Active Directory. Des mots de passe faibles peuvent être compromis, entraînant d’autres abus et des mouvements latéraux potentiels au sein du réseau. »

Des acteurs de la menace ont été observés en train d’extraire des MTN.dit, une base de données qui stocke les données Active Directory sur les utilisateurs, les groupes,les descripteurs de sécurité et les hachages de mot de passe des clients compromis dans les 2 à 3 heures suivant la connexion avec un utilisateur local.

La vulnérabilité a également été exploitée pour extraire des informations qui ont permis aux attaquants de se déplacer latéralement au sein du réseau de la victime et d’abuser de Visual Studio Code pour tunneler le trafic malveillant.

mnemonic conseille aux clients de Check Point de mettre immédiatement à jour les systèmes affectés vers la version corrigée et de supprimer tous les utilisateurs locaux sur les passerelles de sécurité vulnérables.

Il est également recommandé aux administrateurs de faire pivoter les mots de passe/comptes pour les connexions LDAP de la passerelle vers Active Directory, d’effectuer des recherches post-correctif dans les journaux à la recherche de signes de compromission, tels qu’un comportement anormal et des connexions suspectes, et, le cas échéant, de mettre à jour la signature IPS du point de contrôle pour détecter les tentatives d’exploitation.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *