关于“Check Point VPN零日攻击”事件的分析研判

　　威胁行为者一直在利用高严重性的Check Point Remote Access VPN零日，窃取在成功攻击中通过受害者网络横向移动所需的Active Directory数据。

　　一、基本内容

　　Check Point公司发现黑客利用CVE-2024-24919漏洞攻击旧VPN本地账户的安全网关，涉及的设备包括CloudGuard Network、Quantum Maestro、Quantum可扩展机箱、Quantum Security Gateways和Quantum Spark。攻击始于5月24日左右，但据助记符称，自4月30日以来就已有利用企图。该漏洞被描述为“特别关键”，因为它可以在远程访问VPN和移动访问的情况下被远程利用，无需用户交互或特权。建议立即更新修补程序，删除易受攻击的安全网关上的本地用户，并进行日志搜索以寻找妥协迹象。 Check Point还提供了其他建议，包括将LDAP连接的密码/帐户从网关轮换到Active Directory，并更新Check Point IPS签名以检测利用企图。

　　二、分析研判

　　这次事件涉及到Check Point安全网关受到CVE-2024-24919漏洞的攻击，黑客利用这一漏洞来针对旧VPN本地账户进行攻击。这个漏洞被描述为“特别关键”，因为它可以被远程利用，而且不需要用户交互或特权。攻击始于5月24日左右，但自4月30日以来就已有用企图，这表明已经有一段时间存在安全隐患。

　　这次事件强调了安全漏洞修补的重要性，企业必须迅速响应并安装安全补丁来解决已知的漏洞。此外，事件也提示了企业需要及时更新其安全措施以应对新的安全威胁，因为黑客会利用新的漏洞进行攻击。

　　对于受影响的企业来说，修补CVE-2024-24919漏洞的修补程序是至关重要的。此外，删除易受攻击的安全网关上的本地用户，将LDAP连接的密码/帐户从网关轮换到Active Directory，并更新Check Point IPS签名以检测利用企图也是重要的防御措施。

　　三、应对策略

　　针对Check Point安全网关受到CVE-2024-24919漏洞攻击的情况，以下是一些应对策略：

　　1、立即安装修补程序：受影响的企业应立即安装Check Point发布的修补程序，以修复CVE-2024-24919漏洞，阻止黑客利用该漏洞进行攻击。

　　2、删除易受攻击的本地用户：建议企业在受影响的安全网关上删除旧的本地账户，从而减少黑客利用该漏洞的机会。

　　3、转移LDAP连接的密码/帐户到Active Directory：将LDAP连接的密码/帐户从安全网关轮换到Active Directory，以增加安全性并减少潜在的攻击面。

　　4、更新IPS签名以检测利用企图：确保使用最新的Check Point IPS(入侵防御系统)签名，以便及时检测和阻止与CVE-2024-24919漏洞相关的攻击企图。

　　以上策略可以帮助企业应对CVE-2024-24919漏洞攻击，加强网络安全并降低被黑客利用的风险。随着新的安全漏洞和威胁的出现，企业需要保持警惕并采取积极的措施来保护其信息资产和网络安全。