Data di creazione: 29/05/2024 15:47

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2024-24919 – già sanata dal vendor – che interessa le soluzioni Checkpoint Security Gateways con le funzionalità Remote Access VPN (IPSec) o Mobile Access blade abilitate. Tale vulnerabilità potrebbe permettere ad un utente malevolo remoto la possibilità di carpire informazioni sensibili e di ottenere l’accesso agli account target.

Note (aggiornamento del 05/06/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2024-24919 risulta disponibile in rete.

Tipologia

• Information Disclosure
• Security Restrictions Bypass

Descrizione e potenziali impatti

È stato recentemente rilevato lo sfruttamento della vulnerabilità CVE-2024-24919 – già sanata dal vendor – presente nelle soluzioni Checkpoint Security Gateways con le funzionalità Remote Access VPN o Mobile Access blade abilitate.

Tale vulnerabilità potrebbe consentire la divulgazione di informazioni sensibili e potenzialmente permettere l’accesso abusivo a servizi VPN su sistemi che prevedono l’utilizzo della sola password come metodo di autenticazione, in particolare per account locali.

Prodotti e versioni affette

Security Gateway e CloudGuard Network Security, versioni:

• R81.20
• R81.10
• R81
• R80.40

Quantum Maestro and Quantum Scalable Chassis

• R81.20
• R81.10
• R80.40
• R80.30SP
• R80.20SP

Quantum Spark Gateways, version:

• R81.10.x
• R80.20.x
• R77.20.x

Azioni di Mitigazione

Ove non già provveduto, si raccomanda di aggiornare tempestivamente i prodotti Checkpoint vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Si evidenzia che è fortemente sconsigliato mantenere account di servizio e/o account amministrativi di emergenza che non abbiano il secondo fattore di autenticazione abilitato.

Si raccomanda infine agli utenti e alle organizzazioni di attivare le seguenti misure preventive:

• mantenere sempre aggiornate le soluzioni software VPN;
• verificare che la propria configurazione sia correttamente implementata e che utilizzi protocolli sicuri (ad es. OpenVPN o IPsec), disabilitando eventuali funzionalità aggiuntive non necessarie;
• implementare meccanismi di autenticazione a più fattori (MFA);
• utilizzare le best practice per la gestione degli accessi (IAM);
• prevedere l’adozione di password complesse e adottare il principio del privilegio minimo (least privilege);
• prevedere l’adozione di una lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
• filtrare il traffico VPN tramite l’utilizzo di firewall e segmentare la rete per limitare la propagazione di eventuali minacce.

Identificatori univoci vulnerabilità

CVE-2024-24919

Riferimenti

https://blog.checkpoint.com/security/enhance-your-vpn-security-posture

https://advisories.checkpoint.com/defense/advisories/public/2024/cpai-2024-0353.html

https://support.checkpoint.com/results/sk/sk182336

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.