11020714020
Goto Top

CVE-2024-24919 - Mehrere Checkpoint-Lösungen mit dringendem Handlungsbedarf

Achtung:

Bei folgenden Check-Point-Lösungen kann dringender Handlungsbedarf bestehen:

  • CloudGuard Network
  • Quantum Maestro
  • Quantum Scalable Chassis
  • Quantum Security Gateways
  • Quantum Spark Appliances

Schwachstelle Kennung CVE-2024-24919
Abfluss von Zugangsdaten

Es gibt erste erfolgreiche Ausnutzungen der Schwachstelle.

Daher: selbst prüfen, ob betroffen und ggf. die Anleitungen, Hilfen und bereitgestellte Patches, Scripte von Check Point zur Behebung unverzüglich beachten.

Weitergehende Empfehlungen:

  • Änderungen von LDAP-Passwörtern
  • Änderungen aller weiterer Geräte-Kenntwörter
  • Prüfung aller Accounts, die zur Authentifizierung nur ein Passwort benötigen
  • ggf. Austausch von Zertifikaten einspielen neuer IPS-Signaturen
  • Prüfung Log-Daten auf verdächtige IPs und ob ggf. Zugriffsversuche stattgefunden haben.

cheers

Content-ID: 52229389940

Url: https://administrator.de/contentid/52229389940

Printed on: November 3, 2024 at 02:11 o'clock

commodity
commodity Jun 03, 2024 at 21:42:26 (UTC)
Goto Top
Besser spät als nie? Die Meldung kam doch schon vor acht Tagen rein und war selbst vor fünf Tagen bei Heise face-big-smile
So viel Zeit haben wir heutzutage eher nicht mehr.

So ganz verstehe ich diese "immer mal wieder" CVE-Threads hier deshalb nicht. Besser wäre es, doch, wenn Ihr Sicherheitsleute hier mal die zentraleren Quellen benennt. Eine einfache und gut für den deutschen Markt angepasste wäre zB https://www.heise.de/security/alerts/

Kollegen, die direkter an einem Hersteller dran sitzen, helfen natürlich mit direkten Infos - die dann auch entsprechend schnell kommen.

Viele Grüße, commodity
kgborn
kgborn Jun 03, 2024 updated at 22:09:06 (UTC)
Goto Top
Nun ja, die Meldung kam vor einigen Tagen (präziser am 26.5.2024) - aber jetzt warnt das BSI. Guess why? Man munkelt, dieser ausgebuffte Cyberangriff auf die CDU wurde über diese Schwachstelle ausgeführt.

So in etwa in diesem Ablauf:

  • die entscheiden sich, die Check Point Security Gateways per Nutzername/Passwort abzusichern
  • dann lassen sie sich diese Zugangsdaten per Phishing zusenden
  • über das kompromittierte Konto nutzen die Angreifer die Schwachstelle CVE-2024-24919, um Informationen abzurufen.

Zu den Informationen gehörten Daten für das Active Directory etc. Zumindest stelle ich mir das so als "klein Fritzchen vor".

BSI-Warnung vor Schwachstelle CVE-2024-24919 in Check Point Security Gateways; Einfallstor für CDU-Hack?
11020714020
11020714020 Jun 04, 2024 at 04:30:05 (UTC)
Goto Top
@commodity
Das eine ist eine Meldung bei Heise über eine Schwachstelle, das andere ist eine Meldung über eine aktive Ausnutzung einer Schwachstelle und der damit verbundene Aufruf sich aktiv drum zu kümmern.

Ihr wisst ja eh was zu tun ist, wie all die Sicherheitsvorfälle zeigen, bei denen es zuvor Meldungen über Schwachstellen gab aber dann doch eine aktive Ausnutzung möglich war und zum Teil bis heute ist.

Es ist halt wie immer, irgendwer meckert immer.
Lass ich es eben für die Zukunft bleiben. Ist für mich auch ok.

face-smile
tech-flare
tech-flare Jun 04, 2024 at 05:12:52 (UTC)
Goto Top
Es ist halt wie immer, irgendwer meckert immer.
Lass ich es eben für die Zukunft bleiben. Ist für mich auch ok.
Guter Plan!
tech-flare
tech-flare Jun 04, 2024 at 05:13:57 (UTC)
Goto Top
CheckPoint bewirbt ja, dass sie die branchenführende KI Cyber-Security Lösung haben...Mit einer angeblichen Blockierungsrate von 99,8 %.

Interessant, dass dann bei denen so etwas überhaupt passiert.
commodity
commodity Jun 04, 2024 updated at 10:22:46 (UTC)
Goto Top
Interessant, wie der geschiedene Kollege @_MayBeSec als selbst benannter Sicherheitsexperte hier eine Meldung, die titelt
Notfallpatch: Angreifer attackieren VPN-Verbindungen von Checkpoint Gateways
zur simplen Schwachstellenmeldung herunter stuft.
Im SANS-Podcast war bereits am 31. Mai ein sehr anschaulicher PoC erläutert.

Wenn Heise o.a., z.B. auch der geschätzte Kollege @kgborn natürlich, sagt, ich soll patchen, dann patche ich.

Erstaunlich, wenn das stimmt (SANS-Podcast, ca. Minute 2), dass bei Checkpoint der Webserver mit Root-Rechten arbeitet. Vermag ich mir kaum vorzustellen.

Die CDU immerhin hat um diesen Hack ja gebettelt. Wenn man Hinweise auf Schwachstellen so behandelt, muss man nichts weiter zu sagen. Dann liest man auch keine Checkpoint- oder Heise-Infos. Zumal die durchsickernden Infos zur Ausnutzung der Schwachstelle auf weitere erhebliche Sicherheitsmängel dort hindeuten.

Edit:
CheckPoint bewirbt ja, ...
Hier der PoC.
Scollen bis "Wait, what?!" bzw. ein Absatz drüber:
There we go! A path traversal leading to an arbitrary file read! Since we are able to read such a critical file - the shadow password file - we must be running as the superuser, and able to read anything on the filesystem we choose.

Viele Grüße, commodity