Blog

CVE-2024-24919: Zero-day crítico explotado activamente en VPNs Check Point

El título que diga algo como: CVE-2024-24919: Zero day crítico explotado activamente en VPNs Check Point

Descripción

Se ha descubierto una vulnerabilidad crítica de día cero en Check Point Security Gateways con VPN de acceso remoto habilitada

Superficie de Ataque

La vulnerabilidad afecta a varias versiones de productos de Check Point, incluyendo:

  • CloudGuard Network
  • Quantum Maestro
  • Quantum Scalable Chassis
  • Quantum Security Gateways
  • Quantum Spark Appliances

Las versiones específicas afectadas son: R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, y R81.20.

Impacto

Una vez instalado el hotfix, los intentos de inicio de sesión con credenciales débiles y métodos de autenticación inseguros serán automáticamente bloqueados, generando un registro de dichos intentos.

Para aquellos que no puedan aplicar la actualización de inmediato, Check Point recomienda mejorar la seguridad actualizando la contraseña de Active Directory (AD) utilizada por el Security Gateway para la autenticación. Adicionalmente, Check Point ha creado un script de validación de acceso remoto que puede ser cargado en ‘SmartConsole’ y ejecutado para revisar los resultados y tomar las acciones adecuadas.

Mitigación

Check Point ha lanzado las siguientes actualizaciones de seguridad para abordar la vulnerabilidad:

  • Quantum Security Gateway y CloudGuard Network Security:
    • R81.20, R81.10, R81, R80.40
  • Quantum Maestro y Quantum Scalable Chassis:
    • R81.20, R81.10, R80.40, R80.30SP, R80.20SP
  • Quantum Spark Gateways:
    • R81.10.x, R80.20.x, R77.20.x

Para aplicar la actualización, diríjase al portal de Security Gateway > Software Updates > Available Updates > Hotfix Updates y haga clic en ‘Install’. El proceso de actualización debe tomar aproximadamente 10 minutos e incluye un reinicio obligatorio.

Ips vistas en los ataques

Los actores de amenazas han utilizado diversas direcciones IP para realizar la operación, incluyendo:

104.223.91.28
198.54.135.99
184.147.100.29
146.70.117.210
198.54.130.153
169.150.203.22
185.156.46.163
146.70.171.99
206.217.206.108
45.86.221.146
193.32.126.233
87.249.134.11
66.115.189.247
104.129.24.124
146.70.171.112
198.54.135.67
146.70.124.216
45.134.142.200
206.217.205.49
146.70.117.56
169.150.201.25
66.63.167.147
194.230.144.126
146.70.165.227
154.47.30.137
154.47.30.150
96.44.191.140
146.70.166.176
198.44.136.56
176.123.6.193
192.252.212.60
173.44.63.112
37.19.210.34
37.19.210.21
185.213.155.241
198.44.136.82
93.115.0.49
204.152.216.105
198.44.129.82
185.248.85.59
198.54.131.152
102.165.16.161
185.156.46.144
45.134.140.144
198.54.135.35
176.123.3.132
185.248.85.14
169.150.223.208
162.33.177.32
194.230.145.67
5.47.87.202
194.230.160.5
194.230.147.127
176.220.186.152
194.230.160.237
194.230.158.178
194.230.145.76
45.155.91.99
194.230.158.107
194.230.148.99
194.230.144.50
185.204.1.178
79.127.217.44
104.129.24.115
146.70.119.24
138.199.34.144

Referencias

Para más detalles, Check Point ha creado una página de FAQ con información adicional sobre CVE-2024-24919, incluyendo la firma IPS y las instrucciones para la instalación manual del hotfix.

Recomendaciones adicionales

  1. Gestión de la superficie de ataque: Asegúrese de contar con habilidades para analizar y evaluar sus activos digitales e información, en cualquier lugar donde su marca esté presente de forma digital. Detecte cambios en tiempo real y realice un análisis para determinar si estos cambios representan condiciones de riesgo.
  2. Actualización de software: Verifique que todos los dispositivos en la red estén actualizados con las últimas versiones y parches de seguridad, para prevenir la explotación de vulnerabilidades conocidas.
  3. Capacitación y actualización: Proporcione formación a los responsables de la seguridad tecnológica en su organización, comparta información de incidentes pasados y manténgalos al tanto de nuevas vulnerabilidades que podrían ser explotadas por actores maliciosos.

Se recomienda a todos los usuarios aplicar las actualizaciones de inmediato y seguir las recomendaciones de seguridad adicionales para proteger sus redes contra posibles explotaciones.

CronUp CiberSeguridad 🎯

©ATRc – Alerta Temprana de Riesgos

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required