31 de mayo de 2024: Lectura arbitraria de archivos en las puertas de enlace VPN de Check Point [CVE-2024-24919].

Resumen ejecutivo:

• CVE-2024-24919 es una lectura arbitraria de archivos de día cero en Check Point Security Gateways con las cuchillas IPSec VPN o Mobile Access habilitadas, y actualmente está siendo explotada activamente en la naturaleza.
• Un atacante remoto no autenticado podría aprovechar este fallo para leer datos confidenciales como hashes de contraseñas, permitiendo potencialmente el movimiento lateral y el compromiso completo de la red bajo las circunstancias adecuadas. 
• La vulnerabilidad debe remediarse inmediatamente aplicando los hotfixes publicados por Check Point y restableciendo las credenciales de la cuenta local. 
• A 31 de mayo de 2024, Censys observó más de 13.800 dispositivos conectados a Internet en todo el mundo que exponían los productos de software afectados. No todos ellos son necesariamente vulnerables.
• Este exploit es preocupante porque no requiere ninguna interacción del usuario o privilegios, y Check Point es un proveedor de VPN y dispositivos de red ampliamente utilizado. Los dispositivos de red perimetral como las VPN son objetivos prioritarios, como demuestra la reciente campaña patrocinada por el estado campaña ArcaneDoorya que están orientados a Internet y pueden proporcionar acceso a la red interna si se ven comprometidos.

El 28 de mayo de 2024, Check Point reveló una vulnerabilidad de lectura arbitraria de archivos rastreada como CVE-2024-24919 en varios de sus productos Security Gateway. Actualmente está pendiente de análisis y puntuación CVSS por parte de NVD.

Mientras que aviso de seguridad de Check Point describe esto como una "vulnerabilidad de divulgación de información", investigadores de watchTowr descubrieron que en realidad se trata de una vulnerabilidad de lectura arbitraria de archivos, que permite a un atacante remoto no autorizado leer cualquier archivo del sistema. Según watchTowr, el fallo "no era demasiado difícil de encontrar, y era extremadamente fácil de explotar una vez que lo habíamos localizado".

Activos afectados

La vulnerabilidad afecta a los siguientes productos de Check Point que tienen activadas las hojas de software Remote Access VPN o Mobile Access:

1. Red CloudGuard
2. Maestro cuántico
3. Chasis escalable Quantum
4. Pasarelas de seguridad Quantum
5. Aparatos Quantum Spark

Las versiones afectadas incluyen R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x y R81.20.

Impacto

Esta vulnerabilidad podría permitir a un atacante remoto no autenticado leer archivos locales del Security Gateway afectado, incluidos archivos confidenciales expuestos como datos de contraseñas, claves SSH u otras credenciales. En las circunstancias adecuadas, esto podría conducir al robo de credenciales, el movimiento lateral dentro de la red y el posible compromiso completo del sistema. Ya se ha observado su explotación para extraer credenciales de Active Directory.

Estado de explotación

La explotación activa de esta vulnerabilidad ha sido observada en la naturaleza por múltiples actores de amenazas. A PoC se publicó el 30 de mayo de 2024.

Check Point informó de intentos de explotación que se remontan al 7 de abril de 2024, con el comportamiento centrado en "escenarios de acceso remoto con cuentas locales antiguas con autenticación de sólo contraseña no recomendada."

Empresa de seguridad Mnemonic ha informado de que ha observado ataques en entornos de clientes para robar credenciales de Active Directory que se remontan al 30 de abril de 2024:

"Hemos observado que los actores de amenazas extraen ntds.dit de clientes comprometidos en un plazo de 2-3 horas después de iniciar sesión con un usuario local...CVE-2024-24919 se utilizó en ese caso para extraer información del usuario que el actor de la amenaza utilizó después para moverse lateralmente en la red."

Consulte las preguntas frecuentes en aviso de Check Point (en "¿Cuáles son las direcciones IP sospechosas utilizadas por los actores de amenazas para explotar la vulnerabilidad?") para obtener una lista de posibles IP de actores de amenazas.

Disponibilidad del parche

Check Point ha publicado las siguientes actualizaciones de seguridad para solucionar esta vulnerabilidad:

• Quantum Security Gateway y CloudGuard Network Security: R81.20, R81.10, R81, R80.40
• Quantum Maestro y Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
• Pasarelas Quantum Spark: R81.10.x, R80.20.x, R77.20.x

Se recomienda encarecidamente comprobar los productos afectados en sus redes y aplicar las actualizaciones apropiadas siguiendo los pasos indicados en el aviso del proveedor. aviso del proveedor. Tenga en cuenta que sólo las puertas de enlace con el acceso remoto VPN o Mobile Access Software Blades habilitado se ven afectados por esta vulnerabilidad, según Check Point.

Detección con Censys

De los productos afectados, Censys pudo identificar con seguridad los siguientes: CloudGuard Network, Quantum Security Gateways y Quantum Spark Appliances. 

Censys Los clientes de ASM pueden utilizar la siguiente consulta para comprobar si hay puertas de enlace Quantum Spark vulnerables en su entorno: risks.name="Puerta de enlace Check Point Quantum Spark vulnerable [CVE-2024-24919]"

Censys Los clientes de ASM pueden utilizar las siguientes consultas para identificar todas las instancias públicas visibles en Censys de estos tres productos:

1. CloudGuard Network (exposiciones)
   • host.services.software: (vendor: "Check Point" and product: "CloudGuard" ) or (web_entity.instances.software.vendor: "Check Point" and web_entity.instances.software.product: "CloudGuard")
2. Pasarelas de seguridad Quantum (exposiciones)
   • host.services.software: (vendor: "Check Point" and product: "Quantum Security Gateway" ) or (web_entity.instances.software.vendor: "Check Point" and web_entity.instances.software.product: "Quantum Security Gateway")
3. Dispositivos Quantum Spark (exposiciones y versiones potencialmente vulnerables)
   • host.services.software: (vendor: "Check Point" and product: "Quantum Spark Gateway" ) or (web_entity.instances.software.vendor: "Check Point" and web_entity.instances.software.product: "Quantum Spark Gateway")

CensysPerspectiva de la UE:

A 31 de mayo de 2024, Censys observó 13.802 hosts de Internet que exponían una instancia de CloudGuard, Quantum Security o una puerta de enlace Quantum Spark. Esto incluía:

• 141 (1,02%) Instancias de CloudGuard Network Security 
• 1.063 (7,70%) Pasarelas de seguridad Quantum 
• 12.598 (91,28%) Pasarelas Quantum Spark 

La mayor concentración de estos hosts se encuentra en Japón, con 6.202 hosts que ejecutan uno de estos productos, seguido de 1.004 hosts en Italia. Dado que la red con mayor concentración de hosts en Japón es OCN NTT Communications Corporation, éstos pueden pertenecer a los servicios OCN (Open Computer Network) operados por NTT Communications Corporation en Japón.

Quantum Spark Gateway y Quantum Security Gateway son productos similares dirigidos a públicos diferentes. Spark está diseñado para pequeñas y medianas empresas, centrándose en la facilidad de uso, mientras que Seguridad está diseñado para medianas y grandes empresas y centros de datos, y ofrece funciones más avanzadas. Es interesante que haya una exposición desproporcionada de Spark Gateways en comparación con los otros productos - esto podría indicar que la mayoría de las organizaciones afectadas pueden ser organizaciones comerciales más pequeñas.

La situación evoluciona rápidamente. Haremos más análisis la semana que viene, a medida que vayamos recabando más información.

Referencias:

• https://support.checkpoint.com/results/sk/sk182336
• https://nvd.nist.gov/vuln/detail/CVE-2024-24919
• https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/
• https://www.bleepingcomputer.com/news/security/check-point-releases-emergency-fix-for-vpn-zero-day-exploited-in-attacks/
• https://thehackernews.com/2024/05/check-point-warns-of-zero-day-attacks.html
• https://www.cybersecuritydive.com/news/check-point-cve-vpn-attacks/717366/