WICHTIGE INFORMATION

Informationen zum CVE-2024-24919

Der Security-Hersteller Check Point hat am 27.05.2024 vor zunehmenden Angriffen auf VPN-Gateways allgemein gewarnt und in der Nacht vom 28.05. auf den 29.05. darüber hinaus eine neue Sicherheitslücke in der eigenen VPN-Gateway-Software bekannt gemacht. Fixes für die Sicherheitslücke sind verfügbar.

Update 31.05.2024:

Seit Bekanntwerden der Sicherheitslücke werden von Check Point kontinuierlich neue Details zu diesem CVE veröffentlicht und daraus abgeleitet entsprechende Handlungsempfehlungen angepasst. Dies passiert so rasant, dass wir an dieser Stelle nicht im gleichen Tempo die Veröffentlichungen wiedergeben können, sondern verweisen auf die laufend gepflegte Webseite

https://support.checkpoint.com/results/sk/sk182336

Bitte schauen Sie eigenständig regelmäßig dort hinein und holen Sie eventuell die bei Ihnen noch offenen Maßnahmen gemäß dort dokumentierter neuer Handlungsempfehlungen nach.

Wenn die Firewall verwundbar war, dann hätte in der Zeit ein Angreifer mit entsprechenden Kenntnissen der Sicherheitslücke jede Datei von der Firewall herunterladen können. Dies beinhaltet Informationen wie:

  • Auf den Firewalls vorhandene Zertifikate bzw. der dazugehörigen Secret Keys
  • Passwort-Dateien mit gehashten Passwörtern
  • Hinterlegte Passwörter und Kennungen für den Zugriff auf Verzeichnisdienste (Radius, LDAP, Active Directory)

Diese Einschätzung und Bewertung basiert auf öffentlich verfügbaren Quellen und nicht auf Angaben der NetUSE AG oder des Herstellers.

Für die Bewertung der Auswirkung auf einzelne Installationen muss jeweils die lokale Situation durch den Kunden betrachtet werden. Wenn z.B. ein schwaches Passwort für den Administrations-Zugang verwendet wurde und die Oberfläche aus dem Internet frei zugänglich ist, dann hat eine Änderung der Administrator-Passwörter eine sehr hohe Priorität. Sind diese komplex und der Zugang auf ausgewählte Systeme beschränkt, so werden andere Aufgaben wichtiger sein.

Wir empfehlen hier ein Verzeichnis mit Handlungsempfehlungen und kritischen Informationen zu erstellen, diese an den lokalen Gegebenheiten zu spiegeln, eine Priorisierung gemäß der Wichtigkeit/Dringlichkeit vorzunehmen und in der entsprechenden Reihenfolge und gemäß der Verfügbarkeit von Ressourcen zu ändern.

Sollten sie Unterstützung beim Einspielen der Patches benötigen, können wir aufgrund der aktuellen Lage ggf. keine Rücksicht auf kundenindividuelle Wartungsfenster nehmen und bearbeiten die Anfragen in der Reihenfolge des Eingangs.

Update 30.05.2024:

Mit den neuen am 30.05.2024 bekannt gewordenen Informationen sehen wir mittlerweile drei Szenarien, die für sie als Check Point-Kunde zutreffen können:

1. Sie benutzen RAS-VPN (RAS = Remote Access) oder Mobile Access

Bitte rollen sie schnellstmöglich die Patches des Hersteller aus:

2. Sie benutzen S2S-VPN (S2S = Site-to-Site), aber kein RAS-VPN oder Mobile Access

Wenn sie die Patches nicht zeitnah ausrollen können genügt es laut Hersteller Mobile Access Blade sowie die VPN-Clients zu deaktivieren. Siehe unter „I am using Site to Site VPN, but not using Remote Access or Mobile Access blade. Do I need to install the Hotfix?“ auf:

3. Sie haben weder das IPSec VPN- noch das Mobile Access-Blade aktiviert

Es sind keine unnmittelbaren Notmaßnahmen nötig.

Sofern für sie Szenario 1 oder 2 zutrifft, empfiehlt der Hersteller im Anschluss das Kennwort zur AD-Anbindung (sofern konfiguriert) neu zu setzen und darüber hinaus einfache Passwort-Authentifizierung zu deaktivieren.

In allen drei Fällen empfehlen wir den nächsten Recommended Jumbo Hotfix, der die CVE-spezifischen Hotfixes enthalten wird, geordnet auszurollen. Das schließt aus, bei einer späteren Reaktivierung der VPN-Funktionen verwundbar zu werden.

Sollten sie Unterstützung beim Einspielen der Patches benötigen, können wir aufgrund der aktuellen Lage ggf. keine Rücksicht auf kundenindividuelle Wartungsfenster nehmen und bearbeiten die Anfragen in der Reihenfolge des Eingangs.

Stand 29.05.2024:

Im Mai 2024 wurden vermehrte Angriffe auf VPN-Produkte (in der Regel alte lokale VPN-Konten mit einfacher Passwort-Authentifizierung ohne zweiten Faktor) mit Fernzugriffen bekannt.

Seit dem 29.05.2024 ist die Grundursache für den Erfolg dieser Angriffe identifiziert. Check Point hatte zur Schließung der entsprechenden Sicherheitslücke einen Fix für Check Point Kunden veröffentlicht. Um geschützt zu bleiben, war es bis dahin bei Nutzung von Remote Access und Mobile Access Blade zwingend erforderlich, diesen mit dem folgenden Fix auf den Check Point Network Security-Gateways zu installieren.

Die gefundene Sicherheitslücke (CVE-2024-24919) betrifft Security-Gateways mit aktiviertem Remote-Access-VPN oder Mobile Access Blade. Sie ermöglicht es einem Angreifer möglicherweise, bestimmte Informationen auf Gateways zu lesen, sobald diese mit dem Internet verbunden und mit Remote-Access-VPN oder mobilem Zugriff aktiviert sind.

Quellen

Check Point: Preventative Hotfix for CVE-2024-24919 – Quantum Gateway Information Disclosure

Check Point: FAQ for CVE-2024-24919 – Quantum Security Gateway Information Disclosure

CERT.at:  Sicherheitslücke in Check Point Network Security Gateways (Mobile Access) – Fix verfügbar