체크포인트 원격 액세스 VPN의 제로데이 취약점(CVE-2024-24919)이 지난 4월 30일 이후로 위협 행위자들에 의해 적극적으로 악용되고 있다. 이 고위험 취약점은 공격자가 피해 네트워크 내에서 횡적 이동을 위해 필요한 액티브 디렉토리  데이터를 탈취할 수 있다.

체크포인트는 공격자들이 안전하지 않은 비밀번호 기반 인증만 사용하는 오래된 VPN 로컬 계정을 이용해 보안 게이트웨이를 표적으로 삼고 있음을 확인했다.

이 결함은 원격 액세스 VPN 또는 모바일 액세스가 활성화된 인터넷 연결 게이트웨이에서 특정 정보를 읽을 수 있게 한다. 결과적으로 로컬 계정의 비밀번호 해시를 포함한 액티브 디렉토리에 연결된 계정의 해시를 추출할 수 있다.

이 취약점은 사용자 상호작용이나 공격 대상 게이트웨이에서의 권한 없이 원격으로 악용할 수 있기 때문에 특히 위험하다. 공격자들은 로그인 후 몇 시간 내에 액티브 디렉토리 데이터를 포함한 `ntds.dit` 데이터베이스를 추출할 수 있었다.

체크포인트는 영향을 받는 시스템을 대상으로 악용 시도를 차단하는 방안을 발표했다. 이 핫픽스는 CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways 및 Quantum Spark 장비에 대한 것이다. 핫픽스 적용 후 약한 인증 방법과 비밀번호를 사용한 모든 로그인 시도가 자동으로 차단되고 기록된다.

관리자들은 즉시 핫픽스를 적용하고, 취약한 로컬 사용자를 제거하며, LDAP 연결을 위한 비밀번호/계정을 회전시키고, 이상 행동 및 의심스러운 로그인과 같은 침해 징후를 로그에서 검색해야 한다. 또한, Check Point IPS 시그니처를 업데이트하여 악용 시도를 탐지할 수 있도록 해야 한다.

자세한 지침 및 업데이트는 체크포인트의 공식 권고 및 지원 문서를 참조하면 된다.