Un’allarmante escalation di attacchi sfrutta la vulnerabilità CVE-2024-24919, che colpisce i security gateway Check Point. Questa falla, classificata come “grave”, permette a malintenzionati di estrarre informazioni sensibili dai dispositivi connessi a Internet e abilitati con VPN Remote Access o Mobile Access Software Blade.
Le informazioni trapelate indicano che molteplici attori malevoli, inclusi Initial Access Broker (IAB), stanno attivamente sfruttando la vulnerabilità per compromettere i sistemi vulnerabili. Gli IAB sono criminali informatici specializzati nell’ottenere accessi iniziali alle reti bersaglio, che poi vendono ad altri gruppi per ulteriori attività malevole.
Rischio elevato: conseguenze devastanti per le imprese
L’impatto potenziale di questa vulnerabilità è significativo. Un malintenzionato che ottiene accesso a un gateway Check Point compromesso può:
- Rubare informazioni sensibili: credenziali utente e altre informazioni riservate possono essere esfiltrati dal dispositivo.
- Compromettere la rete interna: l’attaccante può utilizzare l’accesso VPN come trampolino di lancio per spostarsi lateralmente all’interno della rete e compromettere altri sistemi.
- Impattare il business: rubando dati e nel caso di gruppi ransomware, cifrando l’intera infrastruttura
Attività di Threat Intelligence
Secondo gli analisti Cyberoo, che a partire dal 30 maggio hanno condotto una scansione approfondita della rete alla ricerca di dispositivi Check Point vulnerabili alla CVE-2024-24919, circa il 70% degli apparati Check Point presenti in Italia risultano esposti alla falla.
Questa scoperta è estremamente preoccupante, in quanto evidenzia l’elevato numero di dispositivi che non sono stati ancora aggiornati con l’hotfix rilasciato da Check Point per risolvere la vulnerabilità.
Sfruttamento della vulnerabilità CVE-2024-24919 per ottenere accesso VPN
I malintenzionati sfruttano la CVE-2024-24919 per recuperare l’hash MD5 degli utenti locali sui firewall Check Point compromessi (presenti nel file /etc/shadow). Attraverso tecniche di cracking che sfruttano la potenza di calcolo di GPU multiple (GPU nvidia) è possibile, con sufficiente tempo e risorse di calcolo, decifrare l’hash e ottenere la password in chiaro dell’utente locale.
Se l’utente locale in questione ha i privilegi per l’accesso VPN, l’attore malevolo può sfruttare questa credenziale per accedere alla rete aziendale, con potenziali conseguenze devastanti.
Nei giorni appena successivi (1-4 giugno), su alcuni forum e black market, svariati utenti hanno iniziato a condividere informazioni e vendere credenziali rubate.
Figura 1 – Conversazione tra utenti in un noto forum criminale
Figura 2 – Trend delle scansioni rilevato da greynoise
Dalle due figure sopra, si può notare la coincidenza tra le conversazioni su forum nel dark web e l’inizio delle attività di scansione massiva da parte di centinaia di IP.
Secondo le analisi di Cyberoo, già dal 29 maggio alcuni individui hanno iniziato a scandagliare la rete in cerca di apparati vulnerabili.
Già dalle prime ore Cyberoo ha prontamente avvertito i propri clienti e sta attivamente monitorando la situazione.
Conclusione e consigli
Aggiornare immediatamente per proteggersi
Check Point ha rilasciato un hotfix per risolvere la vulnerabilità CVE-2024-24919. È fondamentale installare questo aggiornamento il prima possibile per mitigare il rischio di attacchi.
Cyberoo consiglia di resettare le password di tutte le credenziali locali e di resettare la password dell’utenza ldap utilizzata dal firewall per le autenticazioni su active directory.
È bene sottolineare l’importanza di NON utilizzare utenze domain admin per effettuare il binding ldap e di attivare l’MFA per le connessioni VPN SSL.
Per ultimo, se non strettamente necessario, è consigliato disabilitare la funzionalità SSL su firewall, considerando che negli ultimi anni praticamente tutti i produttori di firewall sono stati impattati da vulnerabilità critiche riguardanti tale servizio.
L’importanza di mantenere gli apparati aggiornati
Questo episodio sottolinea l’importanza di mantenere aggiornati tutti i software e i firmware dei dispositivi di rete non appena il produttore rende disponibile una patch di sicurezza. Le vulnerabilità non patchate rappresentano un terreno fertile per gli attacchi informatici, con conseguenze potenzialmente devastanti per le imprese.
Oltre all’installazione degli aggiornamenti di sicurezza, le organizzazioni dovrebbero implementare ulteriori misure di sicurezza, come:
- Scansioni regolari per le vulnerabilità: utilizzare strumenti dedicati per identificare e correggere le vulnerabilità presenti sui propri sistemi.
- Segmentazione della rete: dividere la rete in segmenti distinti per limitare l’impatto di un attacco compromesso.
- Controllo degli accessi: implementare controlli rigorosi per l’accesso ai sistemi e alle risorse di rete.
- Formazione sulla sicurezza informatica: educare i dipendenti sui rischi informatici e sulle migliori pratiche per proteggersi dalle minacce online.
- Monitoraggio in tempo reale: applicare patch e aggiornamenti non basta, bisogna monitorare attivamente log e telemetrie per capire se qualcosa di sospetto sta avvenendo all’interno del proprio perimetro.
L’adozione di queste misure proattive può contribuire a ridurre significativamente il rischio di attacchi informatici e a proteggere le informazioni aziendali.