Eine kritische Zero-Day-Schwachstelle, bekannt unter CVE-2024-24919, wurde in Check Point Security Gateways entdeckt, die die IPSec VPN oder Mobile Access Blades verwenden. Diese Schwachstelle wird derzeit aktiv ausgenutzt und stellt eine erhebliche Bedrohung für Organisationen weltweit dar.

Details zur Schwachstelle – CVE-2024-24919 Die Schwachstelle CVE-2024-24919 ermöglicht es einem nicht authentifizierten, entfernten Angreifer, sensible Daten von betroffenen Systemen zu lesen, wie beispielsweise Passwort-Hashes. Dies könnte eine laterale Bewegung und eine vollständige Netzwerkkompromittierung unter den richtigen Umständen ermöglichen.

Es wird dringend empfohlen, diese Schwachstelle umgehend durch Anwendung der von Check Point veröffentlichten Hotfixes zu beheben und lokale Kontenberechtigungen zurückzusetzen.

Censys beobachtete weltweit über 13.800 im Internet sichtbare Geräte, die die betroffenen Softwareprodukte offenlegen. Nicht alle diese Geräte sind notwendigerweise anfällig, aber die Anzahl der exponierten Geräte ist besorgniserregend.

Offenlegung durch Check Point Am 28. Mai 2024 gab Check Point die Schwachstelle für das willkürliche Lesen von Dateien bekannt, die als CVE-2024-24919 in mehreren ihrer Security Gateway-Produkte verfolgt wird. Die Schwachstelle wartet derzeit auf eine Analyse und eine CVSS-Bewertung vom NVD. Während Check Points Sicherheitsberatung dies als „Informationsenthüllungsschwachstelle“ beschreibt, entdeckten Forscher von Watchtower, dass es sich um eine Schwachstelle für das willkürliche Lesen von Dateien handelt, die es einem entfernten, nicht autorisierten Angreifer ermöglicht, jede Datei auf dem System zu lesen.

Die Schwachstelle betrifft die folgenden Check Point-Produkte, bei denen die Remote Access VPN oder Mobile Access Software Blades aktiviert sind:

  • CloudGuard Network
  • Quantum Maestro
  • Quantum Scalable Chassis
  • Quantum Security Gateways
  • Quantum Spark Appliances

Betroffene Versionen sind R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x und R81.20.

Verfügbarkeit von Patches Check Point hat die folgenden Sicherheitsupdates veröffentlicht, um diese Schwachstelle zu adressieren:

  • Quantum Security Gateway und CloudGuard Network Security: R81.20, R81.10, R81, R80.40
  • Quantum Maestro und Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP
  • Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

Es wird dringend empfohlen, die betroffenen Produkte in Ihren Netzwerken zu überprüfen und die entsprechenden Updates gemäß den Schritten in der Anbieterberatung anzuwenden. Check Point gibt an, dass diese Schwachstelle nur Gateways betrifft, bei denen die Remote Access VPN oder Mobile Access Software Blades aktiviert sind.

Die höchste Konzentration dieser Hosts befindet sich in Japan, mit 6.202 Hosts, die eines dieser Produkte betreiben, gefolgt von 1.004 Hosts in Italien. Da das Netzwerk mit der höchsten Konzentration von Hosts in Japan zur OCN NTT Communications Corporation gehört, könnten diese zu den OCN (Open Computer Network) Diensten gehören, die von der NTT Communications Corporation in Japan betrieben werden.

Quantum Spark Gateway und Quantum Security Gateway sind ähnliche Produkte für unterschiedliche Zielgruppen. Spark ist für kleine und mittlere Unternehmen konzipiert und legt den Schwerpunkt auf Benutzerfreundlichkeit, während Security für mittlere bis große Unternehmen und Rechenzentren entwickelt wurde und fortgeschrittenere Funktionen bietet.

Interessanterweise sind Spark Gateways stärker betroffen als andere Produkte – dies könnte darauf hinweisen, dass die meisten betroffenen Organisationen kleinere kommerzielle Organisationen sind.

Dies ist eine sich schnell entwickelnde Situation. Wir werden weitere Analysen in der kommenden Woche bereitstellen.