Check Point ha emitido un aviso de seguridad sobre una vulnerabilidad crítica, identificada como CVE-2024-24919, en sus dispositivos VPN de acceso remoto que está siendo activamente explotada por actores maliciosos.
Esta brecha de seguridad pone en riesgo las redes empresariales, permitiendo a los atacantes acceder a información confidencial a través de métodos de autenticación inseguros. La compañía ha respondido rápidamente con una solución y una serie de recomendaciones para proteger a sus clientes.
La VPN de acceso remoto de Check Point es una característica integral de todos los firewalls de red de Check Point. Puede configurarse como una VPN de cliente a sitio para acceder a redes corporativas a través de clientes VPN o como un portal VPN SSL para acceso basado en web.
CVE-2024-24919 (CVSS 7.5): Los ataques se centran en puertas de enlace de seguridad que utilizan cuentas locales obsoletas con métodos de autenticación inseguros que solo utilizan contraseñas débiles. Estos ataques explotan vulnerabilidades que podrían permitir el acceso no autorizado a información confidencial en puertas de enlace conectadas a Internet con acceso remoto VPN o acceso móvil habilitado. Esta falla podría permitir a los atacantes leer cierta información en las puertas de enlace comprometidas.
Productos y versiones afectadas:
La vulnerabilidad afecta a CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, y Quantum Spark Appliances, en las versiones del producto: R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x y R81.20.
Solución:
Check Point ha publicado las siguientes actualizaciones de seguridad para solucionar la falla:
- Quantum Security Gateway y CloudGuard Network Security: R81.20, R81.10, R81, R80.40
- Quantum Maestro y Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
- Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x
Para aplicar la actualización, diríjase al portal Security Gateway portal > Software Updates > Available Updates > Hotfix Updates y haga clic en «Install».
El proveedor indica que el proceso debería tardar aproximadamente 10 minutos y que es necesario reiniciar. Una vez instalada la versión corregida, los intentos de inicio de sesión que utilicen credenciales y métodos de autenticación débiles se bloquearán automáticamente y se creará un registro.
Se recomienda a los usuarios que no puedan aplicar la actualización que mejoren su postura de seguridad actualizando la contraseña de Active Directory (AD) que Security Gateway utiliza para la autenticación.
Recomendaciones:
- Actualice las puertas de enlace de seguridad: instale la revisión más reciente en todas las puertas de enlace de Check Point Network Security. Esta actualización impide que las cuentas locales se autentiquen solo con una contraseña, neutralizando efectivamente la vulnerabilidad.
- Métodos de autenticación seguros: cambie los métodos de autenticación de usuarios a opciones más seguras, como la autenticación basada en certificados.
- Auditar y eliminar cuentas vulnerables: identifique y elimine cuentas locales vulnerables de la base de datos del Security Management Server para evitar el acceso no autorizado.
Referencias:
- https://www.bleepingcomputer.com/news/security/check-point-releases-emergency-fix-for-vpn-zero-day-exploited-in-attacks/
- https://securityonline.info/cve-2024-24919-active-exploitation-of-check-point-remote-access-vpn-vulnerability/
- https://thehackernews.com/2024/05/check-point-warns-of-zero-day-attacks.html
- https://support.checkpoint.com/results/sk/sk182336