チェックポイントがVPNのゼロデイを修正、4月30日から悪用されていたとの報告あり: CVE-2024-24919
BleepingComputer – May 29, 2024
チェックポイントは28日、実際の攻撃で悪用されているリモートアクセスVPN機能のゼロデイ脆弱性CVE-2024-24919に対する緊急パッチをリリース。同社はこの前日の27日に、VPNデバイスを狙う攻撃が増加していることに関する注意喚起を行っていた(※)が、その後、この攻撃の根本原因として同脆弱性の存在が浮かび上がったという。
※詳しくはこちらの記事で:チェックポイントのVPNデバイス、エンタープライズネットワークの侵害試みるハッカーの標的に
CVE-2024-24919:深刻度の高い情報開示の脆弱性
今回ホットフィックスにより修正されたのは、IPSec VPN、リモートアクセスVPN、およびモバイルアクセスソフトウェアブレードを備えるセキュリティゲートウェイ製品(※)における情報開示のゼロデイ脆弱性。攻撃者がこれを悪用すると、インターネット接続された該当製品で特定の情報の読み取りが可能になる恐れがある。CVSSスコア(3.1)は7.5で、深刻度は「High」と評価されている。
※影響を受ける製品は以下の通り:CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantumセキュリティゲートウェイ、Quantum Sparkアプライアンス
ゼロデイの悪用は4月30日から開始か
チェックポイントはこのゼロデイを悪用する攻撃が始まったのは5月24日頃であると述べた一方、サイバーセキュリティ企業のmnemonicは4月30日から顧客環境において悪用の試みが観測されていると報告。攻撃者がローカルユーザーとしてログインしていた2〜3時間のうちに、侵害された顧客環境からActive Directoryデータを保管するデータベース(ntds.dit)が抜き取られていた旨を伝えた。また、ゼロデイを悪用して抽出されたユーザーデータによりその後のラテラルムーブメントが可能となったほか、悪意あるトラフィックのトンネリングにVisual Studio Codeが不正利用される事態にも繋がったという。
ホットフィックスのインストールは「必須」
mnemonicによれば、CVE-2024-24919の悪用にユーザー操作や高い権限は必要なく、リモートから簡単に実施できるため、この脆弱性はとりわけ重大であるという。しかし、今回リリースされたホットフィックスを適用することで、脆弱な認証情報および認証手法を用いたログインの試みはすべて自動的にブロックされ、ロギングされるという。
チェックポイントはセキュリティ通知の中で、今回のホットフィックスのインストールは顧客にとって「必須」であると呼びかけ。mnemonicも、影響を受けるシステムを速やかに修正済みのバージョンへアップデートし、また脆弱なゲートウェイからあらゆるローカルユーザーを削除するよう推奨している。