Una grave vulnerabilidad 0day de divulgación de información afecta a los productos VPN de Check Point. Esta fallo permite a un atacante remoto obtener información sensible, eludir las restricciones de seguridad y acceder a la VPN utilizando solo contraseñas, especialmente en cuentas locales. Check Point ha lanzado un hotfix como medida preventiva, pero se recomiendan acciones adicionales para mitigar el riesgo.

Descripción de la vulnerabilidad

La vulnerabilidad (CVE-2024-24919) reside en los productos VPN de Check Point y podría permitir a un atacante remoto:

• Obtener información sensible: El atacante podría acceder a datos confidenciales expuestos por la falla.
• Eludir las restricciones de seguridad: La vulnerabilidad podría permitir al atacante omitir las medidas de seguridad implementadas para proteger la VPN.
• Acceder a la VPN con solo contraseñas: El atacante podría aprovechar la falla para acceder a la VPN utilizando únicamente contraseñas, especialmente en cuentas locales.

Impacto

Esta vulnerabilidad representa un riesgo crítico para las organizaciones que utilizan los productos VPN afectados de Check Point. Un atacante exitoso podría comprometer la confidencialidad, integridad y disponibilidad de los datos y sistemas protegidos por la VPN.

La vulnerabilidad 0day que afecta a los productos VPN de Check Point (CVE-2024-24919) tiene un impacto potencialmente más severo que la simple divulgación de información. Un atacante exitoso que explote esta falla podría realizar diversas acciones maliciosas, incluyendo:

• Robo de credenciales: El atacante podría interceptar y robar las credenciales de los usuarios que se autentican en la VPN, incluyendo nombres de usuario y contraseñas. Estas credenciales podrían utilizarse para acceder a otros sistemas y recursos de la red, escalando el ataque y comprometiendo aún más la seguridad de la organización.
• Instalación de malware: El atacante podría aprovechar la vulnerabilidad para instalar malware en los dispositivos afectados, como ransomware, cryptominers o spyware. Este malware podría cifrar datos, robar información confidencial o interrumpir las operaciones de la organización.
• Ataques de denegación de servicio (DoS): La vulnerabilidad podría ser utilizada para lanzar ataques DoS, inundando el Security Gateway con tráfico malicioso y haciéndolo inoperable. Esto podría impedir el acceso legítimo a la VPN para usuarios autorizados, afectando la productividad y las operaciones de la organización.
• Ataques de «man in the middle»: El atacante podría posicionarse como intermediario entre el usuario y la VPN, interceptando y manipulando el tráfico. Esto podría permitir al atacante espiar las comunicaciones, robar datos sensibles o incluso redirigir a los usuarios a sitios web maliciosos.

Solución

Check Point ha lanzado un hotfix (actualización de seguridad) para abordar la vulnerabilidad. Se recomienda aplicar este hotfix de inmediato como medida preventiva.

¿Qué se recomienda hacer a los usuarios afectados?

Además del hotfix, Check Point recomienda implementar las siguientes medidas para mitigar el riesgo:

• Cambiar la contraseña de la cuenta del Security Gateway en Active Directory: Esto ayuda a proteger la cuenta contra ataques de fuerza bruta y robo de credenciales.
• Evitar que las cuentas locales se conecten a la VPN con autenticación por contraseña: Se recomienda utilizar métodos de autenticación más robustos, como MFA (autenticación multifactor).
• Verificar el uso de protocolos seguros: Asegurarse de que la VPN utiliza protocolos seguros como OpenVPN o IPsec.
• Implementar mecanismos de autenticación múltiple (MFA): MFA agrega una capa adicional de seguridad al proceso de autenticación, dificultando el acceso no autorizado.
• Filtrar el tráfico VPN mediante firewalls: Implementar firewalls para filtrar el tráfico VPN y bloquear intentos de acceso maliciosos.