image

'Check Point vpn-lek al sinds 30 april actief misbruikt bij aanvallen'

donderdag 30 mei 2024, 10:10 door Redactie, 2 reacties

Een kwetsbaarheid in de vpn-oplossing van Check Point waarvoor deze week een fix verscheen wordt al zeker sinds 30 april misbruikt bij aanvallen, zo stelt securitybedrijf mnemonic. Organisaties worden aangeraden om hun logs en systemen op misbruik te controleren. Check Point liet eerder weten dat het op 24 mei bij een aantal klanten aanvallen had waargenomen.

Het beveiligingslek, aangeduid als CVE-2024-24919, laat een aanvaller gevoelige informatie achterhalen van met internet verbonden gateways waar remote acces vpn of mobile access staat ingeschakeld. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.5, maar mnemonic spreekt van een kritiek lek omdat het aanvallers op afstand informatie laat stelen. Zo is het mogelijk om wachtwoordhashes voor alle lokale accounts te enumereren en te verkrijgen, waaronder het account dat met de Active Directory is verbonden.

"De volledige omvang van de gevolgen is nog steeds onbekend. Het is bekend dat wachtwoordhashes van legacy lokale gebruikers met password-only authenticatie zijn te verkrijgen, waaronder service accounts die met Active Directory zijn verbonden. Zwakke wachtwoorden zijn te compromitteren, wat tot verder misbruik en mogelijk laterale bewegingen in het netwerk kan leiden", legt het securitybedrijf uit. Check Point heeft inmiddels een fix uitgebracht om vpn-systemen te beschermen.

Reacties (2)
30-05-2024, 20:36 door Anoniem
score 10 had ook gemogen, in pricipe kan je van buitenaf het hele systeem over nemen
31-05-2024, 09:25 door Anoniem
Door Anoniem: score 10 had ook gemogen, in pricipe kan je van buitenaf het hele systeem over nemen
Ik snap de opmerking, maar zo werkt het gebruik van CVSS niet.
De 7.5 komt mijns inziens doordat een aanvaller wachtwoord hashes kan stelen: dit raakt alleen de 'Confidentiality/Vertrouwelijkheidsfactor' van de CVSS berekening. (Vector String CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

Wat je vervolgens met de password hashes kunt, zoals de wachtwoorden achterhalen als het zwakke wachtwoorden zijn, wordt in het model niet rechtstreeks aan de kwetsbaarheid toegeschreven (en terecht vind ik).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.