Massive Zunahme von Angriffen auf Check Point VPN durch Ausnutzung einer Zero-Day-Schwachstelle

Eine kritische Schwachstelle in den Sicherheits-Gateways von Check Point, bekannt unter der Bezeichnung CVE-2024-24919, hat zu einem starken Anstieg von Exploitierungsversuchen geführt. Die Schwachstelle, bewertet mit einem CVSS-Score von 8.6, ermöglicht Angreifern, auf sensible Informationen zuzugreifen und möglicherweise laterale Bewegungen sowie Domain-Admin-Rechte zu erlangen.

Die Schwachstelle CVE-2024-24919 

Diese Sicherheitslücke erlaubt es Angreifern, auf Dateien und Verzeichnisse zuzugreifen, die außerhalb des Web-Root-Verzeichnisses gespeichert sind. Der spezifische Angriff erfolgt durch das Senden einer manipulierten POST-Anfrage an den Server, der als Root läuft, wodurch der Angreifer jede Datei im Dateisystem erfassen kann.

Entdeckung und Beratung 

Obwohl die Beratung von Check Point etwas vage blieb, hob sie die Schwere der Schwachstelle hervor. Es wurde darauf hingewiesen, dass die Ausnutzung dieser Schwachstelle zum Zugriff auf sensible Informationen führen und möglicherweise Domain-Admin-Rechte ermöglichen könnte. Die Angriffe in der Wildnis wurden bereits seit dem 7. April 2024 beobachtet.

Beobachtungen und Daten 

Sift, ein Cybersecurity-Überwachungstool, erfasste das Problem schnell. Der erste Exploit-Versuch wurde am 30. Mai 2024 registriert, obwohl es sich um einen nicht funktionierenden Exploit handelte. Der erste erfolgreiche Ausnutzungsversuch wurde am 31. Mai 2024 um etwa 9:30 Uhr UTC aufgezeichnet. Die verwendete Payload war identisch mit dem Proof of Concept, das von watchTowr Labs veröffentlicht wurde.

Top ausgenutzte Pfade 

Bis zum 4. Juni 2024 beinhaltet die Top-10-Liste der plausibel funktionierenden Payloads unter anderem Versuche, auf die Dateien /etc/fstab, /etc/shadow und die Konfigurationsdateien der VPNs zuzugreifen.

Dringender Handlungsbedarf 

Die schnelle Zunahme von Ausnutzungsversuchen nach der öffentlichen Bekanntmachung der CVE-2024-24919 unterstreicht die dringende Notwendigkeit für Organisationen, ihre Systeme umgehend zu patchen. Angesichts eines öffentlich verfügbaren Proof of Concept und einer Zunahme von Exploits müssen alle betroffenen Entitäten die notwendigen Patches anwenden, um diese schwere Schwachstelle zu mitigieren.