ADVERTENCIA: VULNERABILIDAD EXPLOTADA ACTIVAMENTE EN CHECK POINT QUANTUM SECURITY GATEWAY, ¡PARCHE INMEDIATAMENTE!
Software afectado:
Puerta de enlace de seguridad cuántica de Check Point
Punto de control Quantum Maestro
Chasis escalable Quantum de Check Point
Electrodomésticos Check Point Quantum Spark
Red de Check Point CloudGuard
Tipo:
Exposición de información sensible a un actor no autorizado
CVE/CVSS:
CVE-2024-24919: CVSS 7.5 ALTO (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
Fuentes
Aviso de punto de control: https://support.checkpoint.com/results/sk/sk182336
Preguntas frecuentes sobre el punto de control: https://support.checkpoint.com/results/sk/sk182337
Publicación del blog de Check Point: https://blog.checkpoint.com/security/enhance-your-vpn-security-posture
Riesgos
Check Point identificó una vulnerabilidad que expone información confidencial a un usuario no autorizado. Esta vulnerabilidad permite a un atacante obtener acceso a las credenciales de cuentas locales en el dispositivo VPN.
El proveedor recomienda no utilizar cuentas locales. Utilice la autenticación mediante AD, LDAP o RADIUS en su lugar.
El Centro de Ciberseguridad de Bélgica (CCB) recomienda a los administradores de sistemas parchear los sistemas vulnerables lo antes posible. Siga también las recomendaciones adicionales del proveedor. Analice los registros del sistema y de la red en busca de cualquier actividad sospechosa. Este informe tiene instrucciones para ayudar a su organización.
En caso de intrusión, puedes reportar una incidencia a través de: https://cert.be/es/reportar-incidente
Descripción
Check Point observó intentos de iniciar sesión en puertas de enlace de seguridad con acceso a Internet «utilizando cuentas locales de VPN antiguas que dependen de un método de autenticación de solo contraseña no recomendado». La explotación se centra en dispositivos configurados con cuentas locales que utilizan autenticación de solo contraseña.
Al identificar la causa raíz, Check Point encontró una vulnerabilidad que potencialmente permitía a un atacante leer cierta información en Check Point Security Gateways una vez conectado a Internet y habilitado con acceso remoto VPN o Mobile Access Software Blades. Hay disponible una solución de seguridad que mitiga esta vulnerabilidad.
Acciones recomendadas
Parche
El Centro de Seguridad Cibernética de Bélgica recomienda encarecidamente instalar actualizaciones para el software vulnerable con la máxima prioridad, después de realizar pruebas exhaustivas.
La última versión del producto involucrado se puede encontrar en su sitio web: https://support.checkpoint.com/results/sk/sk182336
Medidas adicionales
La CCB recomienda encarecidamente seguir las «importantes medidas adicionales» propuestas por Check Point:
1. Cambiar la contraseña de la Unidad de Cuenta LDAP
2. Restablecer la contraseña de las cuentas locales que se conectan a la VPN con autenticación de contraseña
3. Evite que las cuentas locales se conecten a una VPN con autenticación de contraseña
4. Renovar los certificados del servidor de inspección SSL entrante de Security Gateway
5. Renovar el certificado CA de inspección SSL saliente de Security Gateway
6. Restablecer las contraseñas del sistema operativo Gaia para todos los usuarios locales
La última versión del producto involucrado se puede encontrar en su sitio web: https://support.checkpoint.com/results/sk/sk182336
Monitorear/Detectar
La CCB recomienda que las organizaciones mejoren sus capacidades de monitoreo y detección para identificar cualquier actividad sospechosa relacionada, asegurando una respuesta rápida en caso de una intrusión.
En caso de intrusión, puedes reportar una incidencia a través de: https://cert.be/es/reportar-incidente
Si bien aplicar parches a los dispositivos o al software a la versión más reciente puede brindar seguridad contra futuras explotaciones, no soluciona el compromiso histórico.
Referencias
Aviso de punto de control: https://support.checkpoint.com/results/sk/sk182336
Preguntas frecuentes sobre CheckPoint: https://support.checkpoint.com/results/sk/sk182337
Publicación del blog de CheckPoint: https://blog.checkpoint.com/security/enhance-your-vpn-security-posture