Haavoittuvuus15/2024CVSS 7.5CVE-2024-24919 (Ulkoinen linkki)
Check Point Quantum Gateway palomuurituotteissa on löydetty haavoittuvuus, jota on havaittu hyväksikäytettävän rajattuun asiakaskuntaan kohdistuvissa hyökkäysyrityksissä. Valmistaja on julkaissut korjaavan ohjelmistopäivityksen sekä ohjeita päivityksen suorittamiseen. Päivitys tulee ottaa käyttöön viipymättä ja varmistaa ettei onnistuneesta hyväksikäytöstä ole havaintoja. Haavoittuvuudelle on julkinen hyväksikäyttömenetelmä, joten ohjelmistojen päivittäminen tulee priorisoida korkeimmalle mahdolliselle tasolle.
Haavoittuvuuden kohde
Check Point Quantum Gateway -tuotteet:
- CloudGuard Network
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
Haavoittuvat versiot:
- R80.20.x
- R80.20SP (EOL)
- R80.40 (EOL)
- R81, R81.10
- R81.10.x
- R81.20
Tilanne 2024-05-29
Mistä on kysymys?
Check Point julkaisi 27.5.2024 tiedotteen, jossa kerrottiin heidän valmistamiinsa etäkäyttö VPN-ratkaisuihin kohdistuvista hyökkäysyrityksistä viimeisten kuukausien aikana. Valmistaja suositteli tuotteidensa käyttäjiä poistamaan mahdollisesti hyökkäykselle alttiit konfiguraatiot käytöstä välittömästi. 28.5.2024 Check Point päivitti tiedotettaan, jossa he nyt kertoivat löytäneensä hyväksikäytön mahdollistavan haavoittuvuuden ja julkaisivat siihen korjauspaketin.
Haavoittuvuus mahdollistaa hyökkääjän lukea tiettyjä palomuurilaitteen tietoja oikeudetta, mikäli siinä on VPN tai mobiilikäyttö -toiminnallisuudet käytössä. Tähän mennessä havaitut hyväksikäyttöyritykset ovat liittyneet vanhojen paikallisten käyttäjätilien hyödyntämiseen, joissa on käytössä pelkkään salasanaan pohjautuva ei suositeltava tunnistautumismenetelmä.
Päivitys 30.5.2024
Haavoittuvuuteen liittyvät tiedot ovat tarkentuneet tietoturvatutkijoiden tekemiin selvityksiin pohjautuen ja haavoittuvuus vaikuttaa merkittävästi vakavammalta kuin mitä se valmistajan tarjoamien alkuperäisten tietojen perusteella on vaikuttanut. Tehtyjen selvitysten mukaan haavoittuvuuden hyväksikäyttö on melko yksinkertaista ja tutkijoiden julkaisemassa artikkelissa on kuvattu myös toimiva hyväksikäyttömenetelmä haavoittuvuudelle (PoC).
Tutkijoiden artikkeli aiheesta:
Check Point - Wrong Check Point (CVE-2024-24919) (Ulkoinen linkki)
Haavoittuvuuden hyväksikäyttöä on myös havaittu jo ainakin 30.4.2024 alkaen toisen tietoturvayrityksen havaintojen mukaan:
Advisory: Active exploitation of Check Point Remote Access VPN vulnerability (CVE-2024-24919) (Ulkoinen linkki)
Mitä voin tehdä?
Asenna haavoittuviin laitteisiin valmistajan tarjoama korjauspaketti viipymättä annettujen ohjeiden mukaisesti. Suositeltavaa olisi myös varmistaa, ettei laitteelle ole jo murtauduttu, mikäli laite on ollut haavoittuvalla konfiguraatiolla saatavilla julkisesta verkosta ennen päivityksen asentamista.
Valmistajan haavoittuvuustiedote ja FAQ artikkeli:
Preventative Hotfix for CVE-2024-24919 - Quantum Gateway Information Disclosure (Ulkoinen linkki)
FAQ for CVE-2024-24919 - Quantum Security Gateway Information Disclosure (Ulkoinen linkki)
Valmistajan taustoittava artikkeli:
Important Security Update – Stay Protected Against VPN Information Disclosure (CVE-2024-24919) (Ulkoinen linkki)
Valmistajan julkaisema työkalu haavoittuvan laitteen tunnistamiseksi:
Check Point validate remote access script (Ulkoinen linkki)
Kyberturvallisuuskeskukselle voi matalalla kynnyksellä ilmoittaa haavoittuvuuksien hyväksikäyttöön liittyvistä havainnoista. Havainnot voi ilmoittaa kotisivujemme lomakkeella tai cert@traficom.fi -sähköpostiosoitteen kautta.
Päivitetty tieto haavoittuvuuden hyväksikäyttömenetelmän julkitulosta sekä hyväksikäytön alkamisen ajankohta.