BM24-003 Nolldagssårbarhet i VPN-produkter från Check Point

Check Point har rättat en nolldagssårbarhet i flera av sina VPN-lösningar (CVE-2024-24919). [1,2]

Sårbarheten gör det möjligt för en angripare att uppnå komplett systemövertagande i sårbara produkter.

Sårbarheten rankas 8,6 av 10 på CVSS-skalan och har utnyttjats som en nolldagssårbarhet. Proof of concept finns publicerad publikt på nätet, och exploatering av sårbarheten är att betrakta som relativt okomplicerad.

Uppdatering 2024-05-31

Check Point har utöver uppdateringen tagit fram rekommendationer på åtgärder. Se vidare under rubriken Rekommendationer nedan.

Uppdatering 2024-06-03

Fördjupningar och uppdateringar som kan vara till stöd i arbetet med undersökning och åtgärder har publicerats under veckan [3,4,5]

Påverkade produkter

Flera versioner av:

CloudGuard Network
Quantum Maestro
Quantum Scalable Chassis
Quantum Security Gateways
Quantum Spark Appliances

För en detaljerad förteckning, se tillverkarens webbplats.[2]

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara system. Då det inte finns något tillförlitligt sätt att avgöra om enheter blivit angripna eller inte, rekommenderar CERT-SE verksamheter att vidta tillverkarens senast tillkommande rekommenderade åtgärder.[2]

Check Point rekommenderar vidare följande åtgärder:

• Byt lösenord på kontot som används för LDAP-kommunikation
• Återställ lösenord på lokala konton som ansluter till VPN med lösenordautentisering
• Förhindra att lokala konton ansluter till VPN med lösenordsautentisering
• Förnya servercertifikaten som används för att inspektera inkommande HTTPS-trafik
• Förnya servercertifikaten som används för att inspektera utgående HTTPS-trafik
• Återställ lösenord för Gaia OS för lokala användare
• Skapa nya lokala SSH-certifikat på utrustningen
• Förnya certifikatet som används för att inspektera SSH-trafik

Notera att installera säkerhetsuppdatering inte räcker som åtgärd för de system som angripits. CERT-SE rekommenderar verksamheter att anta att de kan vara komprometterade, och därför vidta Check Points rekommenderade åtgärder.

Fördjupningar och uppdateringar som kan vara till stöd i arbetet med undersökning och åtgärder har publicerats under veckan. [3,4,5]

Källor

[1] https://blog.checkpoint.com/security/enhance-your-vpn-security-posture
[2] https://support.checkpoint.com/results/sk/sk182336
[3] https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/
[4] https://www.rapid7.com/blog/post/2024/05/30/etr-cve-2024-24919-check-point-security-gateway-information-disclosure/
[5] https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/