Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Check Point fixes actively exploited information disclosure vulnerability (CVE-2024-24919)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid in Check Point Gateways die misbruikt kan worden op het moment dat een dergelijke gateway gebruikmaakt van Remote Access VPN of Mobile Access. Ook gateways met IPsec VPN zijn in principe kwetsbaar, maar dit is niet het geval indien deze functionaliteit alleen wordt ingezet voor site-to-site VPN-verbindingen. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van willekeurige bestanden op het device in te zien. Als voorbeeld noemt Check Point de mogelijkheid om informatie te achterhalen over het LDAP-account waarvan een gateway gebruikmaakt voor een verbinding met een Windows Domain Controller in het netwerk.

Aanvallers maken vermoedelijk sinds eind vorige maand misbruik van de kwetsbaarheid waarbij de aanvallen zich volgens Check Point vooral richten op devices die gebruikmaken van local accounts met wachtwoord-gebaseerde authenticatie. De aanvallers lijken daarbij eerst misbruik te maken van de mogelijkheid om de inloggegevens van deze accounts te bemachtigen om deze informatie vervolgens te misbruiken om zich tegen het device te authenticeren. Details over de kwetsbaarheid, en hoe deze misbruikt kan worden voor het verkrijgen van toegang tot informatie, zijn inmiddels publiek gemaakt.

Kwetsbare versies

De kwetsbaarheden zijn aanwezig in releases R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x en R81.20.

Oplossingen en tijdelijke mitigaties

Check Point heeft fixes uitgebracht voor diverse releases van de Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

Zie het FAQ voor CVE-2024-24919 voor links naar alle fixes (inclusief fixes voor Quantum Maestro, Quantum Scalable Chassis en Quantum Spark Appliances).

Naast het installeren van de fixes is het advies om ook lokale accounts waarvan geen gebruikgemaakt wordt, uit te schakelen en om de wachtwoorden van alle lokale accounts – inclusief het LDAP-account – te wijzigen. Daarnaast is het van belang om voor authenticatie niet te vertrouwen op alleen wachtwoorden, maar om multifactor-authenticatie af te dwingen.

Detectie van mogelijk misbruik

Indien de gateway kwetsbaar is geweest, raadt Check Point aan een controle uit te voeren op wachtwoord-gebaseerde inlogactiviteit op het Mobile Access blade over de afgelopen 3 maanden. Dit kan door binnen SmartConsole te kiezen voor Logs & Monitor > Logs en daar de query action:”Log In” AND auth_method:Password AND blade:”Mobile Access” uit te voeren.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Check Point reported a vulnerability in Check Point gateways that can be exploited if such a gateway is configured with Remote Access VPN or Mobile Access. Gateways using the IPsec VPN functionality are also vulnerable, but only if this functionality is used for other purposes than site-to-site VPN connections only. The vulnerability is a so-called “path traversal” vulnerability, allowing an attacker to view the contents of random files on the device. As an example, Check Point mentions the ability to retrieve information on the LDAP account configured on the device to connect to an internal Windows Domain Controller on the network.

Attackers seem to be exploiting the vulnerability since the end of last month whereby the attackers seem to focus on systems using local accounts with password-only authentication. In the attacks, first the exploit is used to gain information on local accounts and then this information is used to authenticate to the device. Details on the vulnerability, as well as examples on how to abuse it to access information on the device, were already published.

Vulnerable versions

The vulnerabilities are present in R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x and R81.20.

Solutions and workarounds

Check Point released the following fixes for Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

See FAQ for CVE-2024-24919 for links to all fixes (including fixes for Quantum Maestro, Quantum Scalable Chassis and Quantum Spark Appliances).

Next to installing these fixes, local accounts that are not in use should be disabled. Passwords for all local accounts, including the LDAP account, should be changed. In addition, authentication to the device should not rely on passwords only, but should be multifactor based.

Detection of possible misuse

If a gateway was found vulnerable, Check Point advises to run checks on this gateway for any password based authentication activity on the Mobile Access blade over the past 3 months. This can be done by selecting Logs & Monitor > Logs within the SmartConsole UI and then issuing the query action:”Log In” AND auth_method:Password AND blade:”Mobile Access”.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl