Uppdaterad: 2024-06-03 13:00 Publicerad: 2024-05-29 16:19

BM24-003 Nolldagssårbarhet i VPN-produkter från Check Point

Check Point har rättat en nolldagssårbarhet i flera av sina VPN-lösningar (CVE-2024-24919). [1,2]

Sårbarheten gör det möjligt för en angripare att uppnå komplett systemövertagande i sårbara produkter.

Sårbarheten rankas 8,6 av 10 på CVSS-skalan och har utnyttjats som en nolldagssårbarhet. Proof of concept finns publicerad publikt på nätet, och exploatering av sårbarheten är att betrakta som relativt okomplicerad.

Uppdatering 2024-05-31

Check Point har utöver uppdateringen tagit fram rekommendationer på åtgärder. Se vidare under rubriken Rekommendationer nedan.

Uppdatering 2024-06-03

Fördjupningar och uppdateringar som kan vara till stöd i arbetet med undersökning och åtgärder har publicerats under veckan [3,4,5]

Påverkade produkter

Flera versioner av:

CloudGuard Network
Quantum Maestro
Quantum Scalable Chassis
Quantum Security Gateways
Quantum Spark Appliances

För en detaljerad förteckning, se tillverkarens webbplats.[2]

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara system. Då det inte finns något tillförlitligt sätt att avgöra om enheter blivit angripna eller inte, rekommenderar CERT-SE verksamheter att vidta tillverkarens senast tillkommande rekommenderade åtgärder.[2]

Check Point rekommenderar vidare följande åtgärder:

Byt lösenord på kontot som används för LDAP-kommunikation
Återställ lösenord på lokala konton som ansluter till VPN med lösenordautentisering
Förhindra att lokala konton ansluter till VPN med lösenordsautentisering
Förnya servercertifikaten som används för att inspektera inkommande HTTPS-trafik
Förnya servercertifikaten som används för att inspektera utgående HTTPS-trafik
Återställ lösenord för Gaia OS för lokala användare
Skapa nya lokala SSH-certifikat på utrustningen
Förnya certifikatet som används för att inspektera SSH-trafik

Notera att installera säkerhetsuppdatering inte räcker som åtgärd för de system som angripits. CERT-SE rekommenderar verksamheter att anta att de kan vara komprometterade, och därför vidta Check Points rekommenderade åtgärder.

Fördjupningar och uppdateringar som kan vara till stöd i arbetet med undersökning och åtgärder har publicerats under veckan. [3,4,5]

Källor

[1] https://blog.checkpoint.com/security/enhance-your-vpn-security-posture
[2] https://support.checkpoint.com/results/sk/sk182336
[3] https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/
[4] https://www.rapid7.com/blog/post/2024/05/30/etr-cve-2024-24919-check-point-security-gateway-information-disclosure/
[5] https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2024-07-26 12:38

CERT-SE:s veckobrev v.30

I efterdyningarna av störningarna hos CrowdStrike har företaget publicerat en rapport om vad som hände. Det...

Veckobrev
2024-07-25 10:05 Uppdaterad

Allvarliga störningar i CrowdStrike påverkar många organisationers it-miljöer

Under morgonen den 19 juli uppmärksammades störningar i säkerhetsplattformen CrowdStrike. Störningarna kan drabba servrar och klienter...

Sårbarhet CrowdStrike
2024-07-24 13:55

Kritisk sårbarhet drabbar flera produkter från HPE

HPE informerar om en sårbarhet som drabbar flera av företagets produkter. [1] Bristen ligger i EDK2,...

Sårbarhet HPE
2024-07-23 11:36 Uppdaterad

Kritisk sårbarhet i Citrix Netscaler ADC och Netscaler Gateway

Citrix varnar för sårbarheter som påverkar produktserierna Citrix ADC och Netscaler Gateway, varav en klassas som...

Sårbarhet Citrix
2024-07-22 13:58

Kritiska sårbarheter i Solarwinds ARM

Solarwinds åtgärdar flera sårbarheter i Solarwinds ARM. Det rör sig om totalt tretton sårbarheter, varav åtta...

Sårbarhet Solarwinds ARM´

Nyheter