En una advertencia reciente, Check Point ha informado sobre una vulnerabilidad de día cero en sus productos de gateway de seguridad de red, que ya ha sido explotada por actores malintencionados. Este problema, identificado como CVE-2024-24919, afecta a varios productos clave, incluyendo CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways y Quantum Spark appliances.
Según Check Point, esta vulnerabilidad permite a un atacante leer cierta información en gateways conectados a Internet que tienen habilitado el acceso remoto VPN o el acceso móvil. Este tipo de acceso podría potencialmente exponer información sensible y comprometer la seguridad de las redes empresariales.
Productos y Versiones Afectadas
Las versiones afectadas por esta vulnerabilidad incluyen:
- Quantum Security Gateway y CloudGuard Network Security:** R81.20, R81.10, R81, R80.40
- Quantum Maestro y Quantum Scalable Chassis:** R81.20, R81.10, R80.40, R80.30SP, R80.20SP
- Quantum Spark Gateways:** R81.10.x, R80.20.x, R77.20.x
Check Point ha lanzado hotfixes para estas versiones afectadas, instando a los usuarios a actualizar sus sistemas lo antes posible para mitigar el riesgo.
Contexto del Ataque
La advertencia de Check Point surge días después de que la empresa israelí de ciberseguridad notificara sobre ataques dirigidos a sus dispositivos VPN con el fin de infiltrarse en redes empresariales. Hasta el 24 de mayo de 2024, se identificaron intentos de inicio de sesión utilizando cuentas VPN locales antiguas que dependían de métodos de autenticación únicamente basados en contraseñas, los cuales no son recomendados.
Naturaleza de los Ataques
Aunque Check Point no ha proporcionado detalles específicos sobre la naturaleza de los ataques, mencionó en una FAQ que los intentos de explotación observados hasta ahora se centran en “el acceso remoto en cuentas locales antiguas con autenticación únicamente basada en contraseñas” en un “pequeño número de clientes.”
Ataques Perimetrales Recientes
Este ataque a dispositivos VPN es el más reciente de una serie de ataques que han afectado a aplicaciones de perímetro de red, con incidentes similares impactando dispositivos de empresas como Barracuda Networks, Cisco, Fortinet, Ivanti, Palo Alto Networks y VMware en años recientes. Los atacantes están motivados por obtener acceso a organizaciones a través de configuraciones de acceso remoto, buscando descubrir activos empresariales relevantes y usuarios, y encontrar vulnerabilidades para mantener la persistencia en activos clave de la empresa.
Recomendaciones
Dada la gravedad de esta vulnerabilidad, se recomienda a todas las organizaciones que utilicen los productos afectados que apliquen las actualizaciones disponibles de inmediato y revisen sus configuraciones de seguridad, especialmente aquellas que utilicen métodos de autenticación basados únicamente en contraseñas.
