CERT Alert - Sicherheitslücke CVE-2024-24919 bei Check Point Security Gateways
Update 02/06/2024
Aktualisiert - Check Point aktualisiert Empfehlungen, Bewertung, spezifische verwundbare Konfigurationen und bestätigt früheren Missbrauch
Zusammenfassung:
Check Point aktualisiert sein Advisory zu CVE-2024-24919 und empfiehlt nun, Passwörter (LDAP Account Unit, lokale Benutzer einschließlich Gaia OS usw.) und SSL-Zertifikate, die für die HTTPS-Inspektion verwendet werden, oder sogar SSH-Keys zurückzusetzen, wenn die Instanz verwundbar war. Außerdem wurde die CVSS Base Score auf 8,6 erhöht, wobei eine Änderung den „Umfang“ der Schwachstelle betrifft.
Es wurde auch erwähnt, dass bestimmte Konfigurationen, in denen CCCD läuft (ein Plugin, das nach Version R81.10 eingeführt wurde), auch nach Anwendung des Hotfixes noch anfällig sind. Glücklicherweise ist diese Einstellung standardmäßig deaktiviert, so dass viele Instanzen wahrscheinlich nicht mit dieser Einstellung konfiguriert sind. Für diejenigen, bei denen dies der Fall ist, besteht die einzige Lösung darin, diese Einstellung dringend zu deaktivieren und die Instanz auf Anzeichen von Kompromittierungsversuchen zu untersuchen.
Auf der anderen Seite hilft eine andere Funktion namens AutoUpdate, eine Ausnutzung zu verhindern (wendet aber den Hotfix nicht an). Security Gateways, die für die Ausführung dieses Prozesses konfiguriert wurden, erhalten nach und nach ein Update, allerdings erst nach dem 2. Juni 2024, was höchstwahrscheinlich bereits zu spät ist.
Wie wir bereits in Ihrem vorherigen Update aus einer privaten Quelle erwähnt haben, wurde die 0-Day-Lücke bereits fast zwei Monate vor der Veröffentlichung des Advisorys ausgenutzt. Sie sollten also vor dem 30. April nach verdächtigem Verhalten suchen, mindestens aber bis zum 7. April zurück, wie jetzt von Check Point bestätigt wurde.
Update 1, 30/05/2024
[Dieser Blog wird je nach Entwicklung der Situation aktualisiert]
Kritischer Check Point 0-Day schlimmer als ursprünglich angenommen, seit April ausgenutzt
Nach der Veröffentlichung der Check Point-Meldung zur 0-Day-Schwachstelle CVE-2024-24919 haben einige Sicherheitsunternehmen weitere Informationen über diese Schwachstelle veröffentlicht. Zunächst erklärte Mnemonic, dass sie bereits am 30. April (im Vergleich zum ursprünglich von Check Point genannten 24. Mai) Angriffsversuche in den Umgebungen ihrer Kunden festgestellt haben.
Schwachstellenforscher bestätigen, dass die Schwachstelle kritisch ist, da sie leicht aus der Ferne ausgenutzt werden kann, da sie keine Benutzerinteraktion oder irgendwelche Privilegien auf angegriffenen Check Point Security Gateways mit aktiviertem Remote Access VPN und Mobile Access erfordert.
Die Ausnutzung von CVE-2024-24919 ermöglicht es Bedrohungsakteuren angeblich, Passwort-Hashes für alle lokalen Konten aufzuzählen und zu extrahieren, insbesondere für das Konto, das zur Verbindung mit Active Directory verwendet wird. Mnemonic sah, wie Angreifer innerhalb von zwei bis drei Stunden die Datenbank „ntds.dit“, in der Active Directory-Daten zu Benutzern, Gruppen, Sicherheitsdeskriptoren und Passwort-Hashes gespeichert sind, von kompromittierten Kunden extrahierten. Es wird auch vermutet, dass die Angreifer die Schwachstelle ausnutzten, um Informationen zu sammeln, die es ihnen ermöglichten, sich lateral im Netzwerk des Opfers zu bewegen und Visual Studio Code zu missbrauchen, um bösartigen Datenverkehr zu tunneln. WatchTowr hat eine technische Analyse der Sicherheitslücke veröffentlicht, aus der hervorgeht, dass der Hersteller den Schweregrad von CVE-2024-24919 herunterspielt. Tatsächlich verglichen sie ein verwundbares und ein gepatchtes System, um die Schwachstelle zu identifizieren, und schafften es, dies in weniger als zwei Tagen zu tun. Sie entdeckten, dass es sich tatsächlich um einen Pfadüberlauf handelt, der zum Lesen einer beliebigen Datei führt, was einem Bedrohungsakteur den Zugriff auf bestimmte Informationen auf kompromittierten Gateways ermöglichen könnte, wodurch er möglicherweise Passwort-Hashes und andere sensible Daten abrufen könnte.
Aufgrund dieser Erkenntnisse haben wir beschlossen, den Bedrohungsgrad dieses Hinweises auf 4 von 5 zu erhöhen. Die Angriffsfläche ist in der Tat riesig: Zehntausende von Check Point-Instanzen sind derzeit im Internet exponiert, und eine noch unbekannte Anzahl ist noch anfällig.
Die Empfehlung bleibt jedoch die gleiche, und Organisationen, die die betroffene Instanz betreiben, sollten dies tun:
- ihre Systeme sofort patchen,
- die Check Point IPS-Signatur einsetzen, die den Angriff blockiert,
- nach verdächtigem Verhalten in der Vergangenheit zu suchen, das auf einen möglichen Kompromittierungsversuch hindeutet (unter Verwendung von IOCs wie den von Check Point hier am 30. Mai veröffentlichten, abnormalen Logins oder lokalen Benutzern usw.), idealerweise seit Anfang April, mindestens aber seit dem 30. April. Zur Erinnerung: Der verwundbare Endpoint ist „https://<ip>/clients/MyCRL“, und anormale Anfragen an diesen Endpunkt sollten überprüft werden, um einen Missbrauch zu erkennen.
Wenn Sie den Verdacht haben, dass Ihre Instanz kompromittiert ist, können Sie sich an unsere CSIRT-Teams wenden, zusätzlich zur Warnung an den Check Point-Support, der Sie bei Ihren Untersuchungen unterstützen wird.
Was wir für unsere Kunden tun
Für Kunden von Orange Cyberdefense prüfen unsere Teams derzeit, ob diese Schwachstelle Auswirkungen auf Ihre IT-Infrastruktur hat, und werden Sie informieren, wenn weitere Maßnahmen erforderlich sind.
Erste Meldung
1.1 Zusammenfassung
Am 27. Mai meldete Check Point eine Schwachstelle mit der Bezeichnung CVE-2024 und einem CVSS 3.1-Score von 7,5 in seinen Check Point Security Gateways, die die Funktionen Remote Access VPN oder Mobile Access aktiviert haben und die Versionen R80 und R81 betreffen. Diese Schwachstelle ermöglicht es einem Angreifer, bestimmte Informationen auf den Gateways zu lesen.
Check Point hat bekannt gegeben, dass diese Schwachstelle ausgenutzt wird. Es wird daher dringend empfohlen, den vom Hersteller bereitgestellten Patch zu installieren.
1.2 Was Sie hören werden
Die Check Point VPN-Schwachstelle wird ausgenutzt.
1.3 Was das bedeutet
Remote Access ist in alle Check Point Netzwerk-Firewalls integriert. Er kann als Client-to-Site-VPN für den Zugriff auf Unternehmensnetzwerke über VPN-Clients konfiguriert oder als SSL-VPN-Portal für den webbasierten Zugriff eingerichtet werden. Zu den Produkten, die von dieser Schwachstelle betroffen sind, gehören: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways und Quantum Spark Appliances in den Versionen R80 und R81.
Am 24. Mai entdeckte Check Point böswillige Anmeldeversuche auf VPN-Clients mit Fernzugriff auf alte lokale Konten mit nicht empfohlenen Passwörtern und wo 2FA nicht verfügbar ist. Ein Incident-Response-Team wurde eingerichtet, um die Ursache dieses Fehlers zu ermitteln.
Nach der Einrichtung dieser Task Force veröffentlichte Check Point am 27. Mai einen Sicherheitshinweis für diese Schwachstelle, die jetzt als CVE-2024-24919 geführt wird. Diese Schwachstelle befindet sich in allen mit dem Internet verbundenen Gateway-Clients mit aktiviertem Remote Access VPN oder mobilem Zugang.
Angriffe auf VPNs sind weit verbreitet und sollten ernst genommen werden, wie wir 2024 mit der Ivanti Secure VPN-Krise und der FortiOS SSL-VPN-Schwachstelle gesehen haben.
Wir stufen die Bedrohungslage für diesen Hinweis mit 3 von 5 ein.
1.4 Was Sie tun sollten
Es wird dringend empfohlen, diesen von Check Point bereitgestellten Patch zu installieren, um eine Kompromittierung Ihrer Endpunkte zu vermeiden. Sie können auch ein von Check Point bereitgestelltes Skript ausführen, um festzustellen, ob Ihre Umgebung lokale Konten mit Kennwortauthentifizierung enthält.
Um das Risiko eines Missbrauchs zu minimieren, empfehlen wir Ihnen außerdem, 2FA zu aktivieren.