Negli ultimi mesi Check Point Software ha osservato un crescente interesse da parte di gruppi malintenzionati a sfruttare gli ambienti VPN ad accesso remoto come punto di ingresso e vettore di attacco nelle aziende, in modo da poter scoprire le risorse e gli utenti aziendali rilevanti alla ricerca di vulnerabilità per ottenere la persistenza sulle risorse aziendali chiave.

“Il 24 maggio 2024 abbiamo identificato un piccolo numero di tentativi di accesso utilizzando vecchi account locali VPN che si affidavano a un metodo di autenticazione con sola password. Abbiamo quindi riunito i nostri team di esperti, che hanno esplorato a fondo questi e altri potenziali tentativi correlati individuando alcuni potenziali clienti che sono stati oggetto di tentativi simili”, si legge sul blog di Check Point.

Vulnerabilità Check Point

Quattro giorni dopo, è stato rilasciato un fix per i gateway Check Point Network Security interessati. La vulnerabilità CVE-2024-24919 (punteggio di gravità di 7.5) consente potenzialmente a un utente malintenzionato di leggere determinate informazioni sui gateway Check Point connessi a Internet con accesso remoto VPN o accesso mobile abilitato. “I tentativi che abbiamo visto finora si concentrano su un piccolo numero di clienti noti e la rete di Check Point non è interessata da questo problema”, si legge ancora nel blog dell’azienda.

Il fix interessa le seguenti versioni dei gateway Check Point:

  • Quantum Security Gateway e CloudGuard Network Security: versioni R81.20, R81.10, R81, R80.40
  • Quantum Maestro e Quantum Scalable Chassis: versioni R81.20, R81.10, R80.40, R80.30SP, R80.20SP
  • Quantum Spark Gateways: versioni R81.10.x, R80.20.x, R77.20.x