Des attaques ciblent les VPN Check Point pour accéder aux réseaux d'entreprise

Les pare-feux Quantum Scalable Chassis Security Systems 44000 et 64000 embarquant la console de gestion R81.20 sont notamment vulnérables à un exploit. (crédit : Check Point)

Les pare-feux Quantum Scalable Chassis Security Systems 44000 et 64000 embarquant la console de gestion R81.20 sont notamment vulnérables à un exploit. (crédit : Check Point)

Une vulnérabilité a été découverte dans plusieurs produits Check Point dont le service Security Gateway utilisé dans ses passerelles de sécurité et VPN. Des correctifs ont été poussés pour contrer des risques en termes de violation de confidentialité des données.

Le fournisseur de cybersécurité Check Point a conseillé à ses clients utilisant ses VPN de corriger immédiatement le service Security Gateway afin d'empêcher les acteurs de la menace d'obtenir un accès initial aux réseaux d'entreprise par le biais de configurations VPN vulnérables. Le fournisseur a publié un avis pour aider à corriger la vulnérabilité. "Le groupe de travail de Check Point continue d'enquêter sur les tentatives d'accès non autorisé aux produits VPN utilisés par nos clients", a déclaré l'entreprise dans une mise à jour de sécurité. "Le 28 mai 2024, nous avons découvert une vulnérabilité dans les Security Gateways avec Remote Access VPN ou Mobile Access blade activé." Selon le fournisseur israélien, les tentatives d'exploitation remontent cependant au 30 avril dernier. Check Point a publié un correctif pour empêcher les tentatives d'exploitation de cette vulnérabilité. Outre Security Gateway, sont aussi concernés par ce risque d'exploit CloudGuard Network Security (versions R81.20, R81.10, R81 et R80.40), Quantum Maestro et Quantum Scalable Chassis (versions R81.20, R81.10, R80.40, R80.30SP et R80.20SP) ainsi que Quantum Spark Gateways (versions R81.10.x, R80.20.x et R77.20.x). Le CERT-FR a également publié un bulletin d'alerte à ce sujet.

La vulnérabilité, répertoriée sous le code CVE-2024-24919, n'affecte apparemment que les passerelles de sécurité configurées avec une protection par mot de passe, que Check Point recommande de ne pas utiliser. « Les tentatives que nous avons vues jusqu'à présent se concentrent sur des scénarios d'accès à distance avec d'anciens comptes locaux avec une authentification par mot de passe non recommandée », a déclaré Check Point. « L'authentification par mot de passe uniquement ne peut pas garantir les plus hauts niveaux de sécurité, et nous recommandons fortement de ne pas se fier à cette méthode pour se connecter à l'infrastructure du réseau. » Pour enquêter sur les tentatives ou cas d'exploit, le fournisseur a constitué des équipes spéciales de professionnels de la réponse aux incidents, des services techniques et des produits. « En se basant sur les notifications de ces clients et sur l'analyse de Check Point, les équipes ont trouvé dans les 24 heures quelques clients potentiels qui ont fait l'objet de tentatives similaires », a ajouté Check Point. Les environnements concernés sont CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways et Quantum Spark Appliances.

Correctifs pour la passerelle de sécurité

Pour corriger la configuration vulnérable sur les services de passerelle de sécurité concernés, la société a publié une mise à jour corrective. Celle-ci est accessible sur le portail Security Gateway dans la rubrique des mises à jour logicielles disponibles. « Dans les heures qui ont suivi ce développement, Check Point a publié une solution facile à mettre en oeuvre qui empêche les tentatives d'exploitation de cette vulnérabilité », a déclaré la société dans le communiqué. Le correctif est également disponible séparément en téléchargement dans le cadre de l'avis de sécurité. Check Point a demandé à ses clients d'appliquer immédiatement le correctif afin d'empêcher les tentatives d'accès à distance non autorisé. Outre l'application du patch, l'entreprise a recommandé de modifier le mot de passe du compte de la Security Gateway dans Active Directory et d'empêcher les comptes locaux de se connecter au VPN avec une authentification par mot de passe. La firme a également recommandé aux entreprises d'évaluer leur utilisation des comptes locaux et de désactiver ceux qui ne sont pas nécessaires. Si les comptes locaux sont nécessaires, le fournisseur suggère de renforcer leur sécurité en mettant en oeuvre une couche d'authentification supplémentaire, telle que des certificats, en plus des mots de passe.

s'abonner
aux newsletters

suivez-nous

Publicité

Derniers Dossiers

Des JO 2024 sous haute surveillance

Des JO 2024 sous haute surveillance

Dans moins de six mois s'ouvriront les Jeux Olympiques et Paralympiques 2024 d'été à Paris dans un contexte international très tendu, bien plus que pour les précédentes éditions....

Publicité