最后更新于2024年6月3日星期一20:55:35 GMT

2024年5月28日，Check Point发布了一份 advisory for CVE-2024-24919, 一个严重的信息泄露漏洞，影响配置了“IPSec VPN”或“移动接入”软件刀片的检查点安全网关设备.

2024年5月29日，安全公司助记术发布了一份 blog 报告称，自4月30日以来，他们已经观察到CVE-2024-24919的野外利用, 2024, 威胁参与者利用该漏洞枚举并提取所有本地帐户的密码散列, 包括用于连接到Active Directory的帐户. 他们还观察到对手横向移动并提取“ntds”.dit "文件从受感染客户的Active Directory服务器, 在针对脆弱的检查点网关的最初攻击的几小时内.

2024年5月30日，《pg电子》发布 技术细节 包含PoC的CVE-2024-24919.

2024年5月31日，检查点更新了他们的 advisory 声明称，进一步分析显示，第一次攻击实际上始于4月7日, 2024, 而不是之前认为的4月30日.

该漏洞允许未经身份验证的远程攻击者读取受影响设备上任意文件的内容. For example, 这允许攻击者读取设备/etc/shadow文件, 公开本地帐户的密码哈希值. 攻击者不仅可以读取此文件，还可以读取其他包含敏感信息的文件. 攻击者可能能够破解这些本地帐户的密码散列, 以及安全网关是否只允许密码验证, 攻击者可能会使用破解后的密码进行身份验证.

缓解指导

根据 供应商咨询，以下产品易受CVE-2024-24919攻击:

• CloudGuard网络
• 量子大师
• 量子可扩展机箱
• 量子安全网关
• 量子火花电器
  

Check Point建议，如果应用以下配置之一，则安全网关容易受到攻击:

• 如果“IPSec VPN”刀片已经启用，并且安全网关设备是“Remote Access”VPN团体的一部分.
• 如果“移动接入”刀片已启用.
  

Check Point has 热补丁发布 量子安全网关, 量子大师, 量子可扩展机箱, 和量子火花电器. 我们建议客户参考Check Point咨询，了解有关受影响版本和修复程序的最新信息.

Notably, 供应商建议现在调用非默认的“CCCD”功能, 说明“使用CCCD的客户必须禁用此功能才能使修补程序有效。.“所有组织应手动确认CCCD功能已在每个打过补丁的Check Point设备上禁用. 根据供应商的建议，命令 vpn cccd status 应在“专家模式”下对电器执行，以确认CCCD已禁用.

应该应用供应商提供的修补程序 immediately. Rapid7强烈建议Check Point安全网关客户 检查他们的环境 除了应用供应商提供的修复程序外，还可以查找折衷迹象并重置本地帐户凭据.

Check Point指出，他们的团队观察到的漏洞利用尝试“集中在使用不推荐的纯密码身份验证的旧本地帐户的远程访问场景”.该公司建议客户检查本地账户的使用情况, 禁用任何未使用的本地帐户, 并添加基于证书的身份验证，而不是仅使用密码的身份验证. 关于远程访问的用户和客户端身份验证的更多信息和建议见 available here.

IOCs

没有确定确定任意文件读取利用的可靠方法. 但是，成功的web管理面板和SSH登录将被登录 /var/log/messages, /var/log/audit/audit.log, and /var/log/auth.

Contents of /var/log/audit/audit.log 在web管理面板登录后，作为用户' admin '从' 192.168.181.1’采用本地PAM认证:
类型= USER_AUTH味精=审计(1717085193.706:656): pid=65484 uid=99 auid=4294967295 ses=4294967295 subj=kernel msg='op=PAM:鉴权授予者=pam_dof_tally,cp_pam_tally,Pam_unix acct="admin" exe="/usr/sbin/httpauth" hostname=192.168.181.1 addr=192.168.181.1 terminal=? res=success'

Contents of /var/log/messages 在web管理面板登录后，作为用户' admin '从' 192.168.181.1’采用本地PAM认证:
5月30日08:30:25 2024 gw-6f7361 httpd2: HTTP登录从192.168.181.1 as admin

Contents of /var/log/auth 在web管理面板登录后，作为用户' admin '从' 192.168.181.1’采用本地PAM认证:
5月30日08:30:31 2024 gw-6f7361 httpd2: HTTP登录从192.168.181.1 as admin

Contents of /var/log/messages 从' 192 '以' admin '用户SSH登录后.168.181.1’采用本地PAM认证:
May 30 08:34:24 2024 gw-6f7361 expand [176227]: admin localhost t +volatile:clish:admin:66699 t
May 30 08:34:24 2024 gw-6f7361 expand [176227]: User admin login with ReadWrite permission

Contents of /var/log/secure 从' 192 '以' admin '用户SSH登录后.168.181.1’采用本地PAM认证:
May 30 08:30:31 2024 gw-6f7361 sshd[66690]:从192接收admin密码.168.181.1端口62487 ssh2

Rapid7客户

InsightVM和expose客户将能够使用今天(周四)发布的未经身份验证的漏洞检查来评估他们对CVE-2024-24919的暴露情况, 5月30日)内容发布.

通过Rapid7扩展的检测规则库，insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent，以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测程序的非详尽列表，并会对与此漏洞相关的利用后行为发出警报:

• 可疑的Web服务器请求-成功的路径遍历攻击
• 可疑Web请求-可能的检查点VPN (CVE-2024-24919)利用

Updates

May 30, 2024: Added IOC section. CVE-2024-24919已添加到美国.S. 网络安全和基础设施局(CISA) 已知利用漏洞(KEV)列表 2024年5月30日.

May 31, 2024增加了更新的检查点 advisory 该报告显示，第一次攻击尝试实际上始于4月7日, 2024, 而不是之前认为的4月30日.

June 3, 2024: Updated the 缓解部分 检查点的新消息更新了 advisory 打开默认关闭的CCCD特性. 它必须被禁用，Hotfix才能在某些版本的软件上有效.