Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919

Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919

Rezumat

CVE-2024-24919 este o vulnerabilitate de divulgare a informațiilor de gravitate ridicată care afectează firewall-urile Check Point. Această vulnerabilitate permite atacatorilor să citească și să descarce toate fișierele de pe un sistem vulnerabil, ceea ce poate duce la o compromitere gravă. Acțiunile imediate, cum ar fi actualizarea dispozitivelor, dezactivarea conturilor locale și rotirea parolelor, sunt esențiale pentru a reduce riscurile.

TL;DR

  • Vulnerabilitate: CVE-2024-24919 (scor CVSS 8.6)

  • Impact: Acces neautorizat la toate fișierele de pe dispozitivele Check Point

  • Mitigare: Actualizați dispozitivele, dezactivați conturile locale, rotiți parolele, activați jurnalizarea și implementați MFA

Introducere

Vulnerabilitatea recent descoperită în firewall-urile (gateway-urile) Check Point, urmărită ca CVE-2024-24919, este o vulnerabilitate de divulgare a informațiilor cu un scor CVSS ridicat de 8,6. Echipa Truesec CSIRT a analizat-o din perspectiva răspunsului la incidente pentru a înțelege mai bine impactul unui atac care valorifică această vulnerabilitate.

Prezentare generală a vulnerabilității

  • Tip: Bug de traversare a căii de acces

  • Efect: Acces neautorizat la toate fișierele de pe sistemul de operare Gaia al dispozitivelor Check Point afectate

  • Cerințe: Lamă de acces mobil sau lamă IPsec VPN activată și gateway în comunitatea VPN de acces la distanță

Faze de exploatare

Faza de exploatare (acces inițial)

Un atacator poate automatiza cu ușurință exploatarea pentru a găsi sisteme vulnerabile, a citi fișiere arbitrare și a colecta informații sensibile. Detectarea acestei faze este dificilă din cauza lipsei de urme substanțiale lăsate de exploit.

Detecție: Compromiterea inițială

Jurnalele Check Point Security Gateway nu captează în mod eficient solicitările web generate în timpul exploatării. Chiar și cu “Log Implied Rules” activat, distingerea traficului malițios rămâne dificilă.

Spargerea parolei

Parolele conturilor locale stocate în fwauth.NDB pot fi sparte cu ajutorul unor instrumente precum “hashcat” datorită lungimii lor limitate (maxim 8 caractere). Spargerea acestor parole poate facilita compromiterea ulterioară.

Faza de acces la rețea (punct de intrare)

Odată ce atacatorii obțin credențiale valide, le pot folosi pentru a accesa servicii publice și, eventual, pentru a intra în mediul de lucru prin SSL VPN. Jurnalele legate de accesul mobil pot ajuta la identificarea intrărilor suspecte.

Lateral Movement and Privilege Escalation Phase (Faza de mișcare laterală și escaladare a privilegiilor)

După ce obțin accesul prin SSL VPN, atacatorii sondează mediul pentru a găsi resurse interne pe care să le compromită. Aceste activități sunt înregistrate de către lama firewall Check Point, dar numai dacă înregistrarea este activată pentru regula corespunzătoare.

Pași de atenuare

  1. Investigați: Efectuați o investigație amănunțită dacă sunt găsite semne de compromitere suplimentară.

  2. Actualizare: Asigurați-vă că toate gateway-urile de securitate Check Point sunt actualizate cu cea mai recentă actualizare.

  3. Dezactivați conturile locale: Utilizați mecanisme de autentificare centralizate, cum ar fi LDAP.

  4. Rotați parolele: Schimbați toate parolele configurate sau stocate pe dispozitive și, dacă este posibil, schimbați și numele de utilizator.
  5. Activați jurnalizarea: Asigurați-vă că toate regulile au jurnalizarea activată și utilizați “Log Implied Rules” (Reguli implicite de jurnalizare) pentru a capta traficul relevant.
  6. Implementați MFA: Utilizați autentificarea cu mai mulți factori în combinație cu accesul la VPN.

  7. Acces restrâns: Limitați accesul utilizatorilor VPN la serverele interne.

  8. Monitorizare continuă: Implementați monitorizarea activă a securității punctelor finale, concentrându-vă asupra serverelor pentru a detecta și preveni intruziunile.

Concluzie

Urmând acești pași, organizațiile pot reduce riscul reprezentat de CVE-2024-24919 și își pot proteja mai bine Check Point Security Gateways și mediile interne de o potențială exploatare.

Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.

Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919
Acțiuni imediate necesare: Protejați-vă rețeaua de CVE-2024-24919