Zusammenfassung:
- CVE-2024-24919 ist eine Zero-Day-Möglichkeit zum Lesen beliebiger Dateien in Check Point Security Gateways mit aktivierten IPSec VPN- oder Mobile Access-Blades, die derzeit aktiv ausgenutzt wird.
- Ein nicht authentifizierter, entfernter Angreifer könnte diesen Fehler ausnutzen, um sensible Daten wie Passwort-Hashes zu lesen, was unter den richtigen Umständen laterale Bewegungen und eine vollständige Kompromittierung des Netzwerks ermöglichen könnte.
- Die Schwachstelle sollte sofort behoben werden, indem die von Check Point veröffentlichten Hotfixes angewendet und die Anmeldedaten des lokalen Kontos zurückgesetzt werden.
- Bis zum 31. Mai 2024 beobachtete Censys weltweit über 13.800 Geräte mit Internetanschluss, auf denen die betroffenen Softwareprodukte installiert waren. Nicht alle davon sind zwangsläufig anfällig.
- Dieser Exploit ist besorgniserregend, da er keine Benutzerinteraktion oder -rechte erfordert und Check Point ein weit verbreiteter Anbieter von VPN- und Netzwerk-Appliances ist. Perimeter-Netzwerkgeräte wie VPNs sind bevorzugte Ziele, wie die jüngste staatlich geförderte ArcaneDoor-Kampagnegezeigt hat, denn sie sind dem Internet zugewandt und können, wenn sie kompromittiert werden, Zugang zum internen Netzwerk bieten.
Am 28. Mai 2024 hat Check Point eine Sicherheitslücke beim Lesen beliebiger Dateien bekannt gegeben, die als CVE-2024-24919 in mehreren ihrer Security Gateway Produkte. Die Analyse und ein CVSS-Score von NVD stehen noch aus.
Während Sicherheitshinweis von Check Point beschreibt dies als eine "Schwachstelle bei der Offenlegung von Informationen", Forscher von watchTowr entdeckten, dass es sich tatsächlich um eine Schwachstelle beim Lesen beliebiger Dateien handelt, die es einem entfernten, nicht autorisierten Angreifer ermöglicht, jede beliebige Datei auf dem System zu lesen. Laut watchTowr war der Fehler "nicht allzu schwer zu finden und extrem einfach auszunutzen, sobald wir ihn gefunden hatten".
Betroffene Vermögenswerte
Die Schwachstelle betrifft die folgenden Check Point Produkte, bei denen die Remote Access VPN oder Mobile Access Software Blades aktiviert sind:
- CloudGuard Netzwerk
- Quanten-Maestro
- Skalierbares Quantum-Chassis
- Quantum Security Gateways
- Quantum Spark-Geräte
Betroffen sind die Versionen R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x und R81.20.
Aufprall
Diese Sicherheitsanfälligkeit kann es einem nicht authentifizierten Angreifer ermöglichen, lokale Dateien von dem betroffenen Security Gateway zu lesen, einschließlich aller offengelegten sensiblen Dateien wie Kennwortdaten, SSH-Schlüssel oder andere Anmeldeinformationen. Unter den richtigen Umständen könnte dies zum Diebstahl von Anmeldeinformationen, zu seitlichen Bewegungen innerhalb des Netzwerks und zur potenziellen vollständigen Kompromittierung des Systems führen. Es wurde bereits beobachtet, dass diese Lücke ausgenutzt wurde, um Active Directory-Anmeldeinformationen.
Verwertungsstatus
Die aktive Ausnutzung dieser Schwachstelle wurde von mehreren Bedrohungsakteuren in freier Wildbahn beobachtet. A PoC wurde am 30. Mai 2024 veröffentlicht.
Check Point berichtet von Angriffsversuchen, die bis zum 7. April 2024 zurückreichen, wobei sich das Verhalten auf "Fernzugriffsszenarien mit alten lokalen Konten mit nicht empfohlener reiner Passwortauthentifizierung" konzentriert.
Sicherheitsfirma Mnemonic meldete, dass es in Kundenumgebungen Angriffe zum Diebstahl von Active Directory-Anmeldedaten beobachtet hat, die bis zum 30. April 2024 zurückreichen:
"Wir haben beobachtet, dass Bedrohungsakteure die Datei ntds.dit von kompromittierten Kunden innerhalb von 2-3 Stunden nach der Anmeldung mit einem lokalen Benutzer extrahiert haben... CVE-2024-24919 wurde in diesem Fall verwendet, um Benutzerinformationen zu extrahieren, die der Bedrohungsakteur dann nutzte, um sich seitlich im Netzwerk zu bewegen."
Siehe die FAQ in Hinweis von Check Point (unter "Was sind die verdächtigen IP-Adressen, die von Bedrohungsakteuren verwendet werden, um die Schwachstelle auszunutzen?") finden Sie eine Liste möglicher IP-Adressen von Bedrohungsakteuren.
Verfügbarkeit von Patches
Check Point hat die folgenden Sicherheitsupdates veröffentlicht, um diese Sicherheitslücke zu schließen:
- Quantum Security Gateway und CloudGuard Network Security: R81.20, R81.10, R81, R80.40
- Quantum Maestro und Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
- Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x
Es wird dringend empfohlen, die betroffenen Produkte in Ihren Netzwerken zu überprüfen und die entsprechenden Aktualisierungen gemäß den Schritten in der Herstellerempfehlung. Beachten Sie, dass laut Check Point nur Gateways mit aktivierten Remote Access VPN oder Mobile Access Software Blades von dieser Sicherheitslücke betroffen sind.
Erkennung mit Censys
Von den betroffenen Produkten konnte Censys mit Sicherheit die folgenden identifizieren: CloudGuard Network, Quantum Security Gateways und Quantum Spark Appliances.
Censys ASM-Kunden können die folgende Abfrage verwenden, um nach anfälligen Quantum Spark Gateways in ihrer Umgebung zu suchen: risks.name="Anfälliges Check Point Quantum Spark Gateway [CVE-2024-24919]"
Censys ASM-Kunden können die folgenden Abfragen nutzen, um alle Censys-sichtbaren, öffentlich zugänglichen Instanzen dieser drei Produkte zu identifizieren:
- CloudGuard Netzwerk (Expositionen)
- Quantum Security Gateways (Gefährdungen)
- Quantum Spark Appliances (Gefährdungen und potenziell anfällige Versionen)
CensysSichtweise:
Bis zum 31. Mai 2024 beobachtete Censys 13.802 Internet-Hosts, die entweder eine CloudGuard-Instanz, Quantum Security oder ein Quantum Spark-Gateway enthielten. Dies beinhaltete:
- 141 (1,02 %) CloudGuard Netzwerksicherheits-Instanzen
- 1.063 (7,70%) Quantum Security Gateways
- 12.598 (91,28%) Quantum Spark-Gateways
Ausgesetzter Quantum Spark Gateway
Die größte Konzentration dieser Hosts befindet sich in Japan mit 6.202 Hosts, die eines dieser Produkte verwenden, gefolgt von 1.004 Hosts in Italien. Da das Netz mit der höchsten Konzentration von Hosts in Japan OCN NTT Communications Corporation ist, könnten diese zu den von NTT Communications Corporation in Japan betriebenen OCN-Diensten (Open Computer Network) gehören.
Quantum Spark Gateway und Quantum Security Gateway sind ähnliche Produkte, die sich an unterschiedliche Zielgruppen richten. Spark ist für kleine bis mittlere Unternehmen konzipiert und legt den Schwerpunkt auf Benutzerfreundlichkeit, während Sicherheit für mittelgroße bis große Unternehmen und Rechenzentren entwickelt wurde und fortschrittlichere Funktionen bietet. Interessant ist, dass Spark Gateways im Vergleich zu den anderen Produkten überproportional häufig betroffen sind - dies könnte darauf hindeuten, dass es sich bei den meisten betroffenen Unternehmen um kleinere kommerzielle Unternehmen handelt.
Die Situation entwickelt sich rasch weiter. Wir werden in der kommenden Woche weitere Analysen vorlegen, sobald wir mehr Informationen gesammelt haben.
Referenzen:
