CERT Alert: Kwetsbaarheid CVE-2024-24919 voor Check Point Security Gateways
Update 02/06/2024
Bijgewerkt - Check Point werkt aanbevelingen, score, specifieke kwetsbare config bij en bevestigt eerder misbruik
Samenvatting:
Check Point blijft hun advies met betrekking tot CVE-2024-24919 updaten. Ze raden nu aan om wachtwoorden (voor LDAP Account Unit, lokale gebruikers inclusief Gaia OS, enzovoort), SSL-certificaten die worden gebruikt voor HTTPS-inspectie, en zelfs SSH-sleutels te resetten als het systeem kwetsbaar was. Ook hebben ze de CVSS basisscore verhoogd naar 8.6, met een aanpassing die de “Scope” van de kwetsbaarheid beïnvloedt.
Ze melden verder dat specifieke configuraties waarbij CCCD wordt uitgevoerd (een plugin die is geïntroduceerd na versie R81.10) nog steeds kwetsbaar zijn, zelfs na het toepassen van de hotfix. Gelukkig is deze instelling standaard uitgeschakeld, dus veel systemen zijn er waarschijnlijk niet mee geconfigureerd. Voor degenen die dat wel zijn, is de enige oplossing om deze instelling onmiddellijk uit te schakelen en het systeem te onderzoeken op mogelijke pogingen tot compromis.
Daarnaast kan de functie AutoUpdate helpen om uitbuiting te voorkomen, maar deze past de hotfix niet toe. Security Gateways die voor deze functie zijn geconfigureerd, ontvangen geleidelijk een update, maar pas na 2 juni 2024, wat waarschijnlijk te laat is.
Zoals we eerder vermeldden in je vorige update van een privébron, werd de 0-day al bijna twee maanden voor de publieke release van het advies gebruikt. Je moet dus zoeken naar verdacht gedrag vanaf 30 april, maar zeker ook terugkijkend tot 7 april, zoals nu bevestigd door Check Point.
Wat het betekent:
CISA heeft deze 0-day toegevoegd aan de Known Exploited Vulnerabilities-catalogus en geeft overheidsinstanties tot 20 juni de tijd om te patchen. We zijn verbaasd over deze deadline, aangezien er al enkele dagen daadwerkelijke verkennings- en exploitatiepogingen worden gedaan door verschillende dreigingsactoren.
Als je een kwetsbare instantie hebt blootgesteld en nog geen maatregelen hebt genomen, moet je ervan uitgaan dat je systeem inmiddels gecompromitteerd is.
Zoals eerder vermeld, is de exploitatie eenvoudig uit te voeren met een simpel curl-verzoek van één regel:
"curl -k -v --path-as-is -X POST -d 'aCSHELL/../../../../../../../etc/passwd' https: // $IP/clients/MyCRL"
Hiermee kunnen gevoelige bestanden zoals die in /etc/passwd worden opgehaald. Maar ook andere privégegevens zoals SSH-sleutels in de mappen /etc/ssh/ of /etc/shadow kunnen in gevaar zijn. Er circuleren verschillende varianten van deze exploitcode online, onder andere voor de Nuclei scanner.
Qualys heeft een niet-geauthenticeerde controle gepubliceerd met het nummer QID=731568 om te controleren of het genoemde probleem aanwezig is:
"Deze QID controleert op kwetsbare Check Point doelen door het versturen van een bewerkte payload die probeert de bestanden '/etc/passwd' en '/etc/shadow' te lezen."
De aanvankelijke schatting van LeakX, dat er 2.000+ kwetsbare instanties waren (van de 40.000+ die momenteel Check Point producten online hebben), was onjuist en is nu bijgewerkt. Er zijn 8.500 kwetsbare instanties gevonden. Andere passieve scanners zoals Censys kwamen in het weekend met een ander cijfer, met 14.000 geïdentificeerde instanties (mogelijk inclusief zowel kwetsbare als herstelde systemen).
Het dreigingsniveau blijft voorlopig 4 op 5.
Wat je moet doen:
Als je vermoedt dat een systeem is gecompromitteerd, adviseert Check Point om de instance volledig opnieuw op te bouwen.
Als je de IPS-handtekening van Check Point niet kunt toepassen, kun je vertrouwen op een regel van EmergingThreats die beschikbaar is voor je IDS-oplossingen:
2053031 - ET WEB_SPECIFIC_APPS Checkpoint Quantum Security Gateway Arbitrary File Read Attempt (CVE-2024-24919) (web_specific_apps.rules)
Als je in je logs zoekt naar verdacht gedrag, heeft Rapid7 in een blogpost advies gegeven over patronen waar je op moet letten.
Kritieke 0-day kwetsbaarheid bij Check Point ernstiger dan gedacht, sinds april uitgebuit
[Deze blog zal worden bijgewerkt naarmate de situatie zich ontwikkelt]
Update 1, 30/05/2024
Na de publicatie van Check Point's advies over de CVE-2024-24919 0-day kwetsbaarheid, hebben meerdere cybersecurity bedrijven aanvullende informatie over deze kwetsbaarheid vrijgegeven. Zo meldde Mnemonic dat zij al op 30 april pogingen tot uitbuiting bij hun klanten hadden gedetecteerd (in tegenstelling tot de aanvankelijk door Check Point genoemde datum van 24 mei).
Onderzoekers bevestigen dat deze kwetsbaarheid kritiek is omdat deze eenvoudig op afstand kan worden misbruikt zonder dat er gebruikersinteractie of speciale privileges nodig zijn op aangevallen Check Point security gateways met Remote Access VPN en Mobile Access ingeschakeld.
Het uitbuiten van CVE-2024-24919 stelt dreigingsactoren vermoedelijk in staat om wachtwoordhashes van alle lokale accounts te achterhalen en in het bijzonder het account dat wordt gebruikt om verbinding te maken met Active Directory. Mnemonic zag dat dreigingsactoren binnen 2-3 uur de "ntds.dit" database, die Active Directory data over gebruikers, groepen, beveiligingsdescriptoren en wachtwoordhashes bevat, wisten te bemachtigen van gecompromitteerde klanten. Ook wordt aangenomen dat aanvallers de kwetsbaarheid hebben gebruikt om informatie te verzamelen waarmee zij zich lateraal binnen het netwerk van het slachtoffer konden verplaatsen en Visual Studio Code konden misbruiken om kwaadaardig verkeer te tunnelen. WatchTowr publiceerde een technische analyse van de kwetsbaarheid waaruit bleek dat de leverancier de ernst van CVE-2024-24919 had onderschat. Ze vergeleken een kwetsbaar en een gepatcht systeem om de fout te identificeren en slaagden hierin binnen twee dagen. Ze ontdekten dat het om een pad-traversale kwetsbaarheid ging die leidde tot het willekeurig lezen van bestanden, wat een dreigingsacteur in staat zou kunnen stellen om specifieke informatie op gecompromitteerde gateways te benaderen en wachtwoordhashes en andere gevoelige gegevens te achterhalen.
Als gevolg van deze bevindingen hebben we besloten om het dreigingsniveau van dit advies te verhogen naar 4 van de 5. De aanvalsoppervlakte is namelijk enorm, met tienduizenden instances van Check Point die momenteel blootgesteld zijn op het internet, waarvan een onbekend aantal nog kwetsbaar is.
De aanbeveling blijft echter hetzelfde, organisaties die de getroffen systemen gebruiken wordt geadviseerd:
- onmiddellijk hun systemen patchen
- de Check Point IPS-handtekening te implementeren die de aanval blokkeert
- hun systemen onderzoeken op verdacht gedrag in het verleden dat duidt op een mogelijke poging tot compromittering (door gebruik te maken van IOC's zoals die hier door Check Point zijn gedeeld op 30 mei, abnormale logins of lokale gebruikers, etc.), idealiter sinds begin april en in ieder geval sinds 30 april. Herinnering: het kwetsbare eindpunt is “https://<ip>/clients/MyCRL” en abnormale verzoeken ernaar moeten worden gecontroleerd om exploitatieactiviteit te detecteren.
Als je vermoedt dat je systeem is gecompromitteerd, kun je contact opnemen met onze CSIRT-teams, naast het waarschuwen van de support van Check Point. Zij zullen je begeleiden in de vervolgstappen.
Wat wij doen voor onze klanten
Voor klanten van Orange Cyberdefense zijn onze teams momenteel bezig met het beoordelen of deze kwetsbaarheid impact heeft op je IT-infrastructuur, en zullen ze adviseren of verdere acties nodig zijn.
Eerste advies
1.1 Samenvatting
Op 27 mei kondigde Check Point een kwetsbaarheid aan getraceerd als CVE-2024 met een CVSS 3.1 score van 7.5, binnen haar Check Point Security Gateways die Remote Access VPN of Mobile Access functies hebben ingeschakeld en die van invloed is op versies R80 en R81. Door deze kwetsbaarheid kan een aanvaller bepaalde informatie op gateways lezen.
Check Point heeft bekendgemaakt dat het heeft ontdekt dat deze kwetsbaarheid actief wordt misbruikt, het wordt daarom sterk aangeraden om de patch toe te passen die door de leverancier wordt geleverd.
1.2 Wat je zult horen
Check Point VPN-kwetsbaarheid wordt actief misbruikt.
1.3 Wat dit betekent
Remote Access is geïntegreerd in alle Check Point netwerk-firewalls. Het kan worden geconfigureerd als een client-naar-site VPN voor toegang tot bedrijfsnetwerken via VPN-clients of worden ingesteld als een SSL VPN Portal voor webgebaseerde toegang. Producten die door deze kwetsbaarheid worden getroffen, zijn onder andere: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways en Quantum Spark Appliances op versies R80 en R81.
Op 24 mei ontdekte Check Point kwaadaardige inlogpogingen op VPN-clients met remote access op oude lokale accounts met niet-aanbevolen wachtwoorden en waar 2FA niet beschikbaar is. Er is een incident response team opgezet om de oorzaak van deze kwetsbaarheid te achterhalen.
Na de oprichting van dit team heeft Check Point op 27 mei een beveiligingsadvies uitgebracht voor deze kwetsbaarheid, die nu wordt gevolgd als CVE-2024-24919. Deze kwetsbaarheid bevindt zich in alle met internet verbonden gateway-clients met ingeschakelde Remote Access VPN of mobiele toegang.
Aanvallen op VPN's komen vaak voor en moeten serieus worden genomen, zoals we zagen in 2024 met de Ivanti Secure VPN-crisis en de FortiOS SSL-VPN-kwetsbaarheid.
Wij classificeren het dreigingsniveau van dit advies als 3 van de 5.
1.4 Wat je kunt doen
Het wordt sterk aanbevolen om de patch van Check Point toe te passen om te voorkomen dat je endpoints worden gecompromitteerd. Je kunt ook een script van Check Point uitvoeren om te controleren of je omgeving lokale accounts met wachtwoordauthenticatie bevat.
Om het risico op uitbuiting te minimaliseren, raden we ook aan om 2FA in te schakelen.