Le fournisseur de cybersécurité Check Point a conseillé à ses clients utilisant ses VPN de corriger immédiatement le service Security Gateway afin d'empêcher les acteurs de la menace d'obtenir un accès initial aux réseaux d'entreprise par le biais de configurations VPN vulnérables. Le fournisseur a publié un avis pour aider à corriger la vulnérabilité. "Le groupe de travail de Check Point continue d'enquêter sur les tentatives d'accès non autorisé aux produits VPN utilisés par nos clients", a déclaré l'entreprise dans une mise à jour de sécurité. "Le 28 mai 2024, nous avons découvert une vulnérabilité dans les Security Gateways avec Remote Access VPN ou Mobile Access blade activé." Selon le fournisseur israélien, les tentatives d'exploitation remontent cependant au 30 avril dernier. Check Point a publié un correctif pour empêcher les tentatives d'exploitation de cette vulnérabilité. Outre Security Gateway, sont aussi concernés par ce risque d'exploit CloudGuard Network Security (versions R81.20, R81.10, R81 et R80.40), Quantum Maestro et Quantum Scalable Chassis (versions R81.20, R81.10, R80.40, R80.30SP et R80.20SP) ainsi que Quantum Spark Gateways (versions R81.10.x, R80.20.x et R77.20.x). Le CERT-FR a également publié un bulletin d'alerte à ce sujet.
La vulnérabilité, répertoriée sous le code CVE-2024-24919, n'affecte apparemment que les passerelles de sécurité configurées avec une protection par mot de passe, que Check Point recommande de ne pas utiliser. « Les tentatives que nous avons vues jusqu'à présent se concentrent sur des scénarios d'accès à distance avec d'anciens comptes locaux avec une authentification par mot de passe non recommandée », a déclaré Check Point. « L'authentification par mot de passe uniquement ne peut pas garantir les plus hauts niveaux de sécurité, et nous recommandons fortement de ne pas se fier à cette méthode pour se connecter à l'infrastructure du réseau. » Pour enquêter sur les tentatives ou cas d'exploit, le fournisseur a constitué des équipes spéciales de professionnels de la réponse aux incidents, des services techniques et des produits. « En se basant sur les notifications de ces clients et sur l'analyse de Check Point, les équipes ont trouvé dans les 24 heures quelques clients potentiels qui ont fait l'objet de tentatives similaires », a ajouté Check Point. Les environnements concernés sont CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways et Quantum Spark Appliances.
Correctifs pour la passerelle de sécurité
Pour corriger la configuration vulnérable sur les services de passerelle de sécurité concernés, la société a publié une mise à jour corrective. Celle-ci est accessible sur le portail Security Gateway dans la rubrique des mises à jour logicielles disponibles. « Dans les heures qui ont suivi ce développement, Check Point a publié une solution facile à mettre en œuvre qui empêche les tentatives d'exploitation de cette vulnérabilité », a déclaré la société dans le communiqué. Le correctif est également disponible séparément en téléchargement dans le cadre de l'avis de sécurité. Check Point a demandé à ses clients d'appliquer immédiatement le correctif afin d'empêcher les tentatives d'accès à distance non autorisé. Outre l'application du patch, l'entreprise a recommandé de modifier le mot de passe du compte de la Security Gateway dans Active Directory et d'empêcher les comptes locaux de se connecter au VPN avec une authentification par mot de passe. La firme a également recommandé aux entreprises d'évaluer leur utilisation des comptes locaux et de désactiver ceux qui ne sont pas nécessaires. Si les comptes locaux sont nécessaires, le fournisseur suggère de renforcer leur sécurité en mettant en œuvre une couche d'authentification supplémentaire, telle que des certificats, en plus des mots de passe.