黑客利用 Check Point VPN 漏洞窃取敏感的 AD 凭据

　　Check Point 报告称，自 4 月下旬以来，网络犯罪分子一直在积极利用 Check Point VPN 远程访问系统中的一个关键漏洞，使他们能够窃取 Active Directory 数据以进一步渗透到受害者的网络中。

　　5 月 27 日，Check Point 提醒其客户，攻击是通过过时的本地 VPN 帐户及其不安全的基于密码的身份验证来攻击他们的安全系统。

　　进一步调查显示，黑客利用信息泄露漏洞CVE-2024-24919(CVSS 3.1评分：7.5)进行这些攻击。该公司已经发布了补丁，以帮助客户阻止利用易受攻击的网络的尝试，包括 CloudGuard、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways 和 Quantum Spark。

　　Check Point 在更新的公告中解释说，此漏洞允许攻击者读取启用了 VPN 远程访问或移动访问的 Internet 连接网关上的特定信息。记录的攻击尝试主要针对通过不鼓励基于密码的身份验证的旧本地帐户的远程访问方案。

　　安装补丁后，所有使用弱凭据和身份验证方法的登录尝试都将被自动阻止和记录。

　　虽然 Check Point 报告称，针对 CVE-2024-24919 的攻击始于 5 月 24 日左右，但网络安全公司 mnemonic 观察到从 4 月 30 日开始在其客户网络中进行利用尝试。该公司指出，由于易于远程利用，此漏洞尤为重要，因为它不需要用户交互或目标 Check Point 设备上的任何权限。

　　根据助记符的说法，该漏洞允许攻击者提取所有本地帐户的密码哈希值，包括用于连接到 Active Directory 的帐户。弱密码可能会被破解，导致网络内的进一步滥用和潜在的横向移动。

　　据观察，攻击者在使用本地用户登录后的 2-3 小时内从受感染的系统中提取了 ntds.dit(包含有关用户、组、安全描述符和密码哈希的 Active Directory 数据的数据库)。

　　该漏洞还用于提取信息，允许攻击者在受害者的网络中横向移动，并滥用 Visual Studio 代码来隧道传输恶意流量。

　　助记符建议 Check Point 客户端立即将受影响的系统更新到已修补的版本，并删除易受攻击的安全网关上的所有本地用户。还建议管理员更改与 Active Directory 的 LDAP 连接的密码和帐户，分析日志中是否有入侵迹象，例如异常行为和可疑的登录尝试，并在可能的情况下更新 Check Point IPS 签名以检测利用尝试。