Check Point, proveedor de ciberseguridad, ha recomendado a sus clientes de VPN que parcheen de inmediato el servicio Security Gateway para evitar que los actores de amenazas obtengan acceso inicial a las redes corporativas a través de configuraciones VPN vulnerables. El proveedor ha emitido un aviso para ayudar a corregir la vulnerabilidad. “El grupo de trabajo de Check Point continúa investigando los intentos de obtener acceso no autorizado a los productos VPN utilizados por nuestros clientes”, dijo la compañía en una actualización de seguridad. “El 28 de mayo de 2024, descubrimos una vulnerabilidad en Security Gateways con VPN de acceso remoto o blade de acceso móvil habilitado”. Sin embargo, según el proveedor israelí, los intentos de explotación se remontan al 30 de abril. Check Point ha emitido un aviso para ayudar a corregir la vulnerabilidad. un arreglo para evitar intentos de explotar esta vulnerabilidad. Además de Security Gateway, CloudGuard Network Security (versiones R81.20, R81.10, R81 y R80.40), Quantum Maestro y Quantum Scalable Chassis (versiones R81.20, R81.10, R80.40, R80.30SP y R80.20SP) y Quantum Spark Gateways (versiones R81.10.x, R80.20.x y R77.20.x) también se ven afectados por este riesgo de explotación. CERT-FR también ha publicado un boletín de alerta sobre este tema.

La vulnerabilidad, catalogada como CVE-2024-24919, aparentemente solo afecta a las puertas de enlace de seguridad configuradas con protección por contraseña, que Check Point recomienda no utilizar. “Los intentos que hemos visto hasta ahora se centran en escenarios de acceso remoto con cuentas locales heredadas con autenticación por contraseña que no se recomienda”, dijo Check Point. “La autenticación solo con contraseña no puede garantizar los niveles más altos de seguridad, y recomendamos encarecidamente no confiar en este método para conectarse a la infraestructura de red”. Para investigar los intentos o exploits, el proveedor ha formado equipos dedicados de respuesta a incidentes, servicios técnicos y profesionales de productos. “Basándose en las notificaciones de estos clientes y el análisis de Check Point, los equipos han encontrado en 24 horas algunos clientes potenciales que han sido sometidos a intentos similares”, agregó Check Point. Los entornos afectados son CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways y Quantum Spark Appliances.

Correcciones de Security Gateway

Para solucionar la configuración vulnerable de los servicios de seguridad afectados, la empresa ha publicado una actualización de parche. Se puede encontrar en el portal Security Gateway en Actualizaciones de software disponibles. “En cuestión de horas, Check Point ha publicado una solución fácil de implementar que evita los intentos de explotar esta vulnerabilidad”, dijo la empresa en el comunicado. El parche también está disponible por separado para su descarga como parte del aviso de seguridad. Check Point instó a sus clientes a aplicar inmediatamente el parche para evitar intentos de acceso remoto no autorizado. Además de aplicar el parche, la empresa recomendó cambiar la contraseña de la cuenta Security Gateway en Active Directory y evitar que las cuentas locales se conecten a la VPN con autenticación de contraseña. La firma también recomendó que las organizaciones evalúen su uso de cuentas locales y deshabiliten las innecesarias. Si se requieren cuentas locales, el proveedor sugiere reforzar su seguridad implementando una capa adicional de autenticación, como certificados, además de contraseñas.