Résumé :
- CVE-2024-24919 est une lecture de fichier arbitraire zero-day dans les passerelles de sécurité Check Point avec les lames IPSec VPN ou Mobile Access activées, et elle est actuellement activement exploitée dans la nature.
- Un attaquant distant non authentifié pourrait tirer parti de ce bogue pour lire des données sensibles telles que des hachages de mots de passe, ce qui pourrait permettre un mouvement latéral et une compromission complète du réseau dans les bonnes circonstances.
- La vulnérabilité doit être immédiatement corrigée en appliquant les correctifs publiés par Check Point et en réinitialisant les informations d'identification du compte local.
- Au 31 mai 2024, Censys a observé que plus de 13 800 appareils connectés à l'internet dans le monde exposaient les produits logiciels concernés. Tous ces appareils ne sont pas nécessairement vulnérables.
- Cet exploit est inquiétant car il ne nécessite aucune interaction ou privilège de la part de l'utilisateur, et Check Point est un fournisseur de VPN et d'appareils réseau très répandu. Les dispositifs de réseau périphérique tels que les VPN sont des cibles de choix, comme l'a montré la récente campagne ArcaneDoorcar ils sont orientés vers l'internet et peuvent fournir un accès au réseau interne s'ils sont compromis.
Le 28 mai 2024, Check Point a divulgué une vulnérabilité de lecture de fichier arbitraire répertoriée sous le nom de CVE-2024-24919 dans plusieurs de leurs produits Security Gateway. Elle est actuellement en attente d'une analyse et d'un score CVSS de la part de NVD.
Alors que l'avis de sécurité de Check Point de Check Point, il s'agit d'une "vulnérabilité liée à la divulgation d'informations", les chercheurs de watchTowr ont découvert qu'il s'agit en fait d'une vulnérabilité de lecture de fichier arbitraire, permettant à un attaquant distant non autorisé de lire n'importe quel fichier sur le système. Selon watchTowr, le bogue "n'a pas été trop difficile à trouver et a été extrêmement facile à exploiter une fois que nous l'avons localisé".
Actifs concernés
La vulnérabilité affecte les produits Check Point suivants, pour lesquels la lame logicielle Remote Access VPN ou Mobile Access est activée :
- Réseau CloudGuard
- Maestro quantique
- Châssis évolutif Quantum
- Passerelles de sécurité Quantum
- Appareils Quantum Spark
Les versions concernées sont les suivantes : R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x et R81.20.
Impact
Cette vulnérabilité pourrait permettre à un attaquant distant non authentifié de lire les fichiers locaux de la passerelle de sécurité concernée, y compris les fichiers sensibles exposés tels que les données de mot de passe, les clés SSH ou d'autres informations d'identification. Dans des circonstances appropriées, cela pourrait conduire à un vol d'informations d'identification, à un mouvement latéral au sein du réseau et à une compromission potentielle complète du système. Il a déjà été observé qu'il était exploité dans la nature pour extraire les éléments suivants des informations d'identification Active Directory.
Statut d'exploitation
Une exploitation active de cette vulnérabilité a été observée dans la nature par de multiples acteurs de la menace. A PoC a été rendu public le 30 mai 2024.
Check Point a signalé des tentatives d'exploitation remontant au 7 avril 2024, le comportement se concentrant sur "des scénarios d'accès à distance avec d'anciens comptes locaux avec une authentification non recommandée par mot de passe uniquement".
Entreprise de sécurité Mnemonic a signalé qu'elle avait observé des attaques dans les environnements de ses clients pour voler des identifiants Active Directory remontant au 30 avril 2024 :
"Nous avons observé des acteurs de la menace qui extraient les fichiers ntds.dit de clients compromis dans un délai de 2 à 3 heures après s'être connecté avec un utilisateur local... CVE-2024-24919 a été utilisé dans ce cas pour extraire des informations sur l'utilisateur que l'acteur de la menace a ensuite utilisé pour se déplacer latéralement dans le réseau."
Voir la FAQ dans l'avis de l'avis de Check Point (sous "Quelles sont les adresses IP suspectes utilisées par les acteurs de la menace pour exploiter la vulnérabilité ?") pour une liste d'adresses IP potentielles d'acteurs de la menace.
Disponibilité des correctifs
Check Point a publié les mises à jour de sécurité suivantes pour corriger cette vulnérabilité :
- Quantum Security Gateway et CloudGuard Network Security : R81.20, R81.10, R81, R80.40
- Châssis Quantum Maestro et Quantum Scalable : R81.20, R81.10, R80.40, R80.30SP, R80.20SP
- Passerelles Quantum Spark : R81.10.x, R80.20.x, R77.20.x
Il est fortement recommandé de vérifier la présence des produits concernés dans vos réseaux et d'appliquer les mises à jour appropriées en suivant les étapes décrites dans l avis du fournisseur. Selon Check Point, seules les passerelles pour lesquelles le Remote Access VPN ou les Mobile Access Software Blades sont activés sont concernées par cette vulnérabilité.
Détection avec Censys
Parmi les produits concernés, Censys a pu identifier avec certitude les produits suivants : CloudGuard Network, Quantum Security Gateways et Quantum Spark Appliances.
Censys Les clients ASM peuvent utiliser la requête suivante pour rechercher les passerelles Quantum Spark vulnérables dans leur environnement : risks.name="Passerelle Quantum Spark vulnérable de Check Point [CVE-2024-24919]"
Censys Les clients d'ASM peuvent utiliser les requêtes ci-dessous pour identifier toutes les instances publiques visibles sur Censys de ces trois produits :
- Réseau CloudGuard (expositions)
- Passerelles de sécurité Quantum (expositions)
- Quantum Spark Appliances (expositions et versions potentiellement vulnérables)
CensysLe point de vue de l'auteur :
Au 31 mai 2024, Censys a observé 13 802 hôtes Internet exposant une instance CloudGuard, Quantum Security ou une passerelle Quantum Spark. Cela inclut :
- 141 (1.02%) Instances de sécurité réseau CloudGuard
- 1 063 (7,70%) Passerelles Quantum Security
- 12 598 (91,28%) Passerelles Quantum Spark
Passerelle Quantum Spark exposée
La plus grande concentration de ces hôtes se trouve au Japon, avec 6 202 hôtes utilisant l'un de ces produits, suivis par 1 004 hôtes en Italie. Étant donné que le réseau ayant la plus forte concentration d'hôtes au Japon est OCN NTT Communications Corporation, il est possible que ces hôtes appartiennent aux services OCN (Open Computer Network) exploités par NTT Communications Corporation au Japon.
Quantum Spark Gateway et Quantum Security Gateway sont des produits similaires destinés à des publics différents. Spark est conçu pour les petites et moyennes entreprises et met l'accent sur la facilité d'utilisation, tandis que Security est conçu pour les moyennes et grandes entreprises et les centres de données, et offre des fonctionnalités plus avancées. Il est intéressant de constater que les passerelles Spark sont exposées de manière disproportionnée par rapport aux autres produits, ce qui pourrait indiquer que la plupart des organisations touchées sont des petites entreprises commerciales.
La situation évolue rapidement. Nous fournirons d'autres analyses au cours de la semaine prochaine, au fur et à mesure que nous recueillerons davantage d'informations.
Références :
