11020714020
Jun 03, 2024
1265
6
2
CVE-2024-24919 - Mehrere Checkpoint-Lösungen mit dringendem Handlungsbedarf
Achtung:
Bei folgenden Check-Point-Lösungen kann dringender Handlungsbedarf bestehen:
Schwachstelle Kennung CVE-2024-24919
Abfluss von Zugangsdaten
Es gibt erste erfolgreiche Ausnutzungen der Schwachstelle.
Daher: selbst prüfen, ob betroffen und ggf. die Anleitungen, Hilfen und bereitgestellte Patches, Scripte von Check Point zur Behebung unverzüglich beachten.
Weitergehende Empfehlungen:
cheers
Bei folgenden Check-Point-Lösungen kann dringender Handlungsbedarf bestehen:
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
Schwachstelle Kennung CVE-2024-24919
Abfluss von Zugangsdaten
Es gibt erste erfolgreiche Ausnutzungen der Schwachstelle.
Daher: selbst prüfen, ob betroffen und ggf. die Anleitungen, Hilfen und bereitgestellte Patches, Scripte von Check Point zur Behebung unverzüglich beachten.
Weitergehende Empfehlungen:
- Änderungen von LDAP-Passwörtern
- Änderungen aller weiterer Geräte-Kenntwörter
- Prüfung aller Accounts, die zur Authentifizierung nur ein Passwort benötigen
- ggf. Austausch von Zertifikaten einspielen neuer IPS-Signaturen
- Prüfung Log-Daten auf verdächtige IPs und ob ggf. Zugriffsversuche stattgefunden haben.
cheers
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52229389940
Url: https://administrator.de/contentid/52229389940
Printed on: June 21, 2024 at 20:06 o'clock
6 Comments
Latest comment
Besser spät als nie? Die Meldung kam doch schon vor acht Tagen rein und war selbst vor fünf Tagen bei Heise 
So viel Zeit haben wir heutzutage eher nicht mehr.
So ganz verstehe ich diese "immer mal wieder" CVE-Threads hier deshalb nicht. Besser wäre es, doch, wenn Ihr Sicherheitsleute hier mal die zentraleren Quellen benennt. Eine einfache und gut für den deutschen Markt angepasste wäre zB https://www.heise.de/security/alerts/
Kollegen, die direkter an einem Hersteller dran sitzen, helfen natürlich mit direkten Infos - die dann auch entsprechend schnell kommen.
Viele Grüße, commodity
So viel Zeit haben wir heutzutage eher nicht mehr.
So ganz verstehe ich diese "immer mal wieder" CVE-Threads hier deshalb nicht. Besser wäre es, doch, wenn Ihr Sicherheitsleute hier mal die zentraleren Quellen benennt. Eine einfache und gut für den deutschen Markt angepasste wäre zB https://www.heise.de/security/alerts/
Kollegen, die direkter an einem Hersteller dran sitzen, helfen natürlich mit direkten Infos - die dann auch entsprechend schnell kommen.
Viele Grüße, commodity
Nun ja, die Meldung kam vor einigen Tagen (präziser am 26.5.2024) - aber jetzt warnt das BSI. Guess why? Man munkelt, dieser ausgebuffte Cyberangriff auf die CDU wurde über diese Schwachstelle ausgeführt.
So in etwa in diesem Ablauf:
Zu den Informationen gehörten Daten für das Active Directory etc. Zumindest stelle ich mir das so als "klein Fritzchen vor".
BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack?
So in etwa in diesem Ablauf:
- die entscheiden sich, die Check Point Security Gateways per Nutzername/Passwort abzusichern
- dann lassen sie sich diese Zugangsdaten per Phishing zusenden
- über das kompromittierte Konto nutzen die Angreifer die Schwachstelle CVE-2024-24919, um Informationen abzurufen.
Zu den Informationen gehörten Daten für das Active Directory etc. Zumindest stelle ich mir das so als "klein Fritzchen vor".
BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack?
2
@commodity
Das eine ist eine Meldung bei Heise über eine Schwachstelle, das andere ist eine Meldung über eine aktive Ausnutzung einer Schwachstelle und der damit verbundene Aufruf sich aktiv drum zu kümmern.
Ihr wisst ja eh was zu tun ist, wie all die Sicherheitsvorfälle zeigen, bei denen es zuvor Meldungen über Schwachstellen gab aber dann doch eine aktive Ausnutzung möglich war und zum Teil bis heute ist.
Es ist halt wie immer, irgendwer meckert immer.
Lass ich es eben für die Zukunft bleiben. Ist für mich auch ok.
Das eine ist eine Meldung bei Heise über eine Schwachstelle, das andere ist eine Meldung über eine aktive Ausnutzung einer Schwachstelle und der damit verbundene Aufruf sich aktiv drum zu kümmern.
Ihr wisst ja eh was zu tun ist, wie all die Sicherheitsvorfälle zeigen, bei denen es zuvor Meldungen über Schwachstellen gab aber dann doch eine aktive Ausnutzung möglich war und zum Teil bis heute ist.
Es ist halt wie immer, irgendwer meckert immer.
Lass ich es eben für die Zukunft bleiben. Ist für mich auch ok.
Es ist halt wie immer, irgendwer meckert immer.
Lass ich es eben für die Zukunft bleiben. Ist für mich auch ok.
Guter Plan!Lass ich es eben für die Zukunft bleiben. Ist für mich auch ok.
2
CheckPoint bewirbt ja, dass sie die branchenführende KI Cyber-Security Lösung haben...Mit einer angeblichen Blockierungsrate von 99,8 %.
Interessant, dass dann bei denen so etwas überhaupt passiert.
Interessant, dass dann bei denen so etwas überhaupt passiert.
2
Interessant, wie der geschiedene Kollege @_MayBeSec als selbst benannter Sicherheitsexperte hier eine Meldung, die titelt
Im SANS-Podcast war bereits am 31. Mai ein sehr anschaulicher PoC erläutert.
Wenn Heise o.a., z.B. auch der geschätzte Kollege @kgborn natürlich, sagt, ich soll patchen, dann patche ich.
Erstaunlich, wenn das stimmt (SANS-Podcast, ca. Minute 2), dass bei Checkpoint der Webserver mit Root-Rechten arbeitet. Vermag ich mir kaum vorzustellen.
Die CDU immerhin hat um diesen Hack ja gebettelt. Wenn man Hinweise auf Schwachstellen so behandelt, muss man nichts weiter zu sagen. Dann liest man auch keine Checkpoint- oder Heise-Infos. Zumal die durchsickernden Infos zur Ausnutzung der Schwachstelle auf weitere erhebliche Sicherheitsmängel dort hindeuten.
Edit:
Scollen bis "Wait, what?!" bzw. ein Absatz drüber:
Viele Grüße, commodity
Notfallpatch: Angreifer attackieren VPN-Verbindungen von Checkpoint Gateways
zur simplen Schwachstellenmeldung herunter stuft.Im SANS-Podcast war bereits am 31. Mai ein sehr anschaulicher PoC erläutert.
Wenn Heise o.a., z.B. auch der geschätzte Kollege @kgborn natürlich, sagt, ich soll patchen, dann patche ich.
Erstaunlich, wenn das stimmt (SANS-Podcast, ca. Minute 2), dass bei Checkpoint der Webserver mit Root-Rechten arbeitet. Vermag ich mir kaum vorzustellen.
Die CDU immerhin hat um diesen Hack ja gebettelt. Wenn man Hinweise auf Schwachstellen so behandelt, muss man nichts weiter zu sagen. Dann liest man auch keine Checkpoint- oder Heise-Infos. Zumal die durchsickernden Infos zur Ausnutzung der Schwachstelle auf weitere erhebliche Sicherheitsmängel dort hindeuten.
Edit:
CheckPoint bewirbt ja, ...
Hier der PoC.Scollen bis "Wait, what?!" bzw. ein Absatz drüber:
There we go! A path traversal leading to an arbitrary file read! Since we are able to read such a critical file - the shadow password file - we must be running as the superuser, and able to read anything on the filesystem we choose.
Viele Grüße, commodity
1