Check Point a révélé une vulnérabilité dans sa solution de VPN
Mise à jour : 2 juin 2024
MAJ - Check Point met à jour les recommandations, le score, la configuration vulnérable spécifique et confirme les abus antérieurs
Résumé :
Check Point a récemment mis à jour ses recommandations concernant la vulnérabilité CVE-2024-24919. Il est désormais conseillé de réinitialiser les mots de passe (unité de compte LDAP, utilisateurs locaux, y compris pour le système d'exploitation Gaia, etc.) ainsi que les certificats SSL utilisés pour l'inspection HTTPS ou les clés SSH si l'instance a été vulnérable. De plus, le score de base CVSS a été augmenté à 8.6 en raison d'un changement affectant le "Scope" de la vulnérabilité.
Il a également été signalé que certaines configurations, où CCCD est activé (un plugin introduit après la version R81.10), restent vulnérables même après l'application du correctif. Heureusement, ce paramètre est désactivé par défaut, ce qui signifie que beaucoup d'instances ne sont probablement pas configurées de cette manière. Pour celles qui le sont, la seule solution est de désactiver ce paramètre de toute urgence et de vérifier si des tentatives de compromission ont eu lieu.
En revanche, une autre fonctionnalité appelée AutoUpdate peut aider à prévenir l'exploitation (mais n'applique pas le correctif). Les Security Gateways configurés pour exécuter ce processus reçoivent progressivement une mise à jour, mais seulement après le 2 juin 2024, ce qui est probablement déjà trop tard.
Comme mentionné dans notre mise à jour précédente provenant d'une source privée, la vulnérabilité de type 0-day a été exploitée près de deux mois avant la publication publique de l'avis. Vous devriez donc rechercher des comportements suspects avant le 30 avril, mais au moins jusqu'au 7 avril, comme confirmé par Check Point.
Ce que cela signifie :
La CISA a ajouté cette vulnérabilité de type 0-day à son catalogue des vulnérabilités exploitées connues, imposant aux agences fédérales de la corriger d'ici le 20 juin. Cette date limite est surprenante, étant donné que des tentatives de reconnaissance et d'exploitation par divers acteurs malveillants ont déjà lieu depuis quelques jours.
Les instances vulnérables qui n'ont pas encore pris de mesures devraient partir du principe qu'elles sont probablement déjà compromises.
L'exploitation est simple, comme le montre cet exemple de commande curl :
Cette commande permet de récupérer les fichiers sensibles stockés dans :
D'autres informations privées, telles que les clés SSH, peuvent également être en danger, situées dans le dossier :
De nombreuses variantes de ce code d'exploitation circulent en ligne, y compris pour le scanner Nuclei ici.
Qualys a publié un test non authentifié, numéroté QID=731568, qui vérifie si le problème ci-dessus peut être déclenché.
Ce QID vérifie les cibles Check Point vulnérables en envoyant une charge utile spécialement conçue qui tente de lire les fichiers :
Les statistiques initiales partagées par LeakX, qui estimaient que plus de 2 000 instances étaient vulnérables (sur les plus de 40 000 instances exposant actuellement des produits Check Point en ligne), étaient incorrectes. Ce chiffre a été mis à jour à 8 500 instances vulnérables. D'autres scanners passifs, comme Censys, ont rapporté un chiffre différent ce week-end, avec 14 000 instances identifiées (mais incluant potentiellement les instances vulnérables et corrigées).
Le niveau de menace reste néanmoins à 4 sur 5 pour le moment.
Ce que vous devriez faire :
Si une compromission confirmée est suspectée, Check Point recommande de reconstruire l'instance à partir de zéro.
Si vous ne pouvez pas appliquer la signature IPS fournie par Check Point, vous pouvez utiliser une règle d'Emerging Threats disponible pour vos solutions IDS :
Pour rechercher des comportements suspects dans vos journaux, Rapid7 a fourni des conseils sur les modèles à surveiller dans un article de blog ici.
Mise à jour : 30 mai 2024
MAJ - Vulnérabilité 0-day de Check Point plus grave que prévu, exploitée depuis avril
À la suite de la publication de l'avis de Check Point sur la vulnérabilité 0-day CVE-2024-24919, certaines entreprises de sécurité ont publié des informations supplémentaires. Tout d'abord, Mnemonic a déclaré avoir détecté des tentatives d'exploitation dans les environnements de leurs clients dès le 30 avril (le 24 mai était initialement mentionné par Check Point). Une autre organisation a partagé en privé avec nous que les premières tentatives identifiées ont été observées encore plus tôt, début avril (confiance moyenne).
Les chercheurs en vulnérabilités confirment que la vulnérabilité est critique car elle est facile à exploiter à distance puisqu'elle ne nécessite pas d'interaction de l'utilisateur ni de privilèges sur les passerelles de sécurité Check Point attaquées avec le VPN d'accès à distance et l'accès mobile activés.
L'exploitation de la CVE-2024-24919 permettrait aux acteurs de menaces d'énumérer et d'extraire les hashs de mots de passe pour tous les comptes locaux, et en particulier le compte utilisé pour se connecter à l’Active Directory. Mnemonic a vu des acteurs de menaces extraire "ntds.dit", une base de données qui stocke les données d'Active Directory sur les utilisateurs, les groupes, les descripteurs de sécurité et les hashs de mots de passe des clients compromis en 2-3 heures. Nous pensons également que les attaquants ont exploité la faille pour collecter des informations leur permettant de se déplacer latéralement dans le réseau de la victime et de détourner Visual Studio Code pour acheminer du trafic malveillant.
WatchTowr a publié une analyse technique de la vulnérabilité indiquant que le fournisseur minimisait la gravité de la CVE-2024-24919. En effet, ils ont comparé un système vulnérable et un système corrigé pour identifier la faille et ont réussi à le faire en moins de deux jours. Ils ont découvert qu'il s'agissait en fait d'une vulnérabilité de type path traversal menant à une lecture de fichier arbitraire, ce qui pourrait permettre à un groupe d’attaquants d'accéder à des informations spécifiques sur les passerelles compromises, permettant potentiellement de récupérer des hashs de mots de passe et d'autres données sensibles.
En conséquence, nous avons décidé de relever le niveau de menace de cet avis à 4 sur 5. En effet, la surface d'attaque est importante, avec des dizaines de milliers d'instances de Check Point actuellement exposées sur Internet, dont un nombre encore inconnu reste vulnérable.
Cependant, la recommandation reste la même, et les entreprises exploitant l'instance affectée devraient :
- appliquer immédiatement le correctif à leurs systèmes,
- déployer la signature IPS de Check Point bloquant l'attaque,
- rechercher un comportement suspect passé indiquant une tentative de compromission possible, idéalement depuis début avril et au moins depuis le 30 avril. Rappel : le point de terminaison vulnérable est "hxxps://<ip>/clients/MyCRL" et les requêtes anormales vers celui-ci doivent être vérifiées pour détecter une activité d'exploitation.
Si vous soupçonnez que votre instance est compromise, vous pouvez contacter nos équipes CSIRT, en plus d'avertir le support de Check Point, qui vous guidera dans ce que vous devez rechercher dans vos enquêtes.
Mise à jour : 29 mai 2024
MAJ - Check Point a révélé une vulnérabilité dans sa solution de VPN
Résumé :
Le 27 mai, Check Point a annoncé une vulnérabilité identifiée sous le nom CVE-2024-24919, avec un score CVSS 3.1 de 7.5, au sein de ses passerelles de sécurité Check Point qui ont les fonctionnalités de VPN ou d'accès mobile activées et affectant les versions R80 et R81. Cette vulnérabilité permet à un attaquant de lire certaines informations sur les passerelles. Check Point a annoncé qu'il avait détecté une exploitation de cette vulnérabilité, il est donc fortement recommandé d'appliquer le correctif fourni par le fournisseur.
Ce que vous entendrez :
La vulnérabilité du VPN Check Point est en cours d’exploitation.
Ce que cela signifie :
Remote Access est intégré à tous les pare-feux réseau de Check Point. Il peut être configuré comme un VPN pour accéder aux réseaux d'entreprise via des clients VPN ou configuré comme un portail VPN SSL pour un accès basé sur le web. Les produits affectés par ce défaut incluent : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways et Quantum Spark Appliances sur les versions R80 et R81.
Le 24 mai, Check Point a découvert des tentatives de connexion malveillantes sur des clients VPN avec accès à distance sur d'anciens comptes locaux avec un mot de passe non recommandé et où l'authentification à deux facteurs n'est pas disponible. Une équipe de réponse à incidents a été créée pour déterminer la cause de cette vulnérabilité. À la suite de la création de cette task force, Check Point a publié un avis de sécurité pour cette vulnérabilité, désormais suivie sous le nom CVE-2024-24919, le 27 mai. Cette vulnérabilité réside chez tous les clients de passerelle connectés à Internet avec un VPN d'accès à distance ou un accès mobile activé. Les attaques contre les VPN sont courantes et doivent être prises au sérieux, comme nous l'avons vu en 2024 avec la crise du VPN sécurisé Ivanti et la vulnérabilité du SSL-VPN de FortiOS. Nous classons le niveau de menace de cet avis à 3 sur 5.
Ce que vous devriez faire :
Il est fortement recommandé d'appliquer ce correctif proposé par Check Point pour éviter toute compromission sur vos points de terminaison. Vous pouvez également exécuter un script fourni par Check Point pour savoir si votre environnement comprend des comptes locaux avec authentification par mot de passe. Pour minimiser le risque d'exploitation, nous recommandons également d'activer l'authentification à deux facteurs.