Распишу по поводу эксплуатируемой вживую уязвимости Infor­ma­tion Dis­clo­sure — Check Point Secu­ri­ty Gate­way (CVE-2024–24919). 28 мая Check Point выпустили бюллетень безопасности, в котором сообщили о критичной уязвимости Check Point Secu­ri­ty Gate­way, сконфигурированных с программными блейдами "IPSec VPN" или "Mobile Access".

📖 Практически сразу появились технические подробности по уязвимости. Уязвимость позволяет неаутентифицированному удаленному злоумышленнику прочитать содержимое произвольного файла, расположенного на уязвимом устройстве. Таким образом злоумышленник может прочитать файл /etc/shadow и хэши паролей локальных учетных записей, включая учетные записи, используемые для подключения к Active Direc­to­ry. Злоумышленник может получить пароли по хэшам, и затем использовать эти пароли для аутентификации и дальнейшего развития атаки. Если, конечно, Secu­ri­ty Gate­way разрешает аутентификацию только по паролю.

🔨 Эксплуатация уязвимости тривиальная — достаточно одного Post-запроса, на GitHub‑е уже множество скриптов для этого.

👾 Попытки эксплуатации уязвимости были зафиксированы с 7 апреля, т.е. за 1,5 месяца до появления исправления от вендора. Уязвимость уже в CISA KEV.

Уязвимы продукты:

🔻 Cloud­Guard Net­work
🔻 Quan­tum Mae­stro
🔻 Quan­tum Scal­able Chas­sis
🔻 Quan­tum Secu­ri­ty Gate­ways
🔻 Quan­tum Spark Appli­ances

🔍 Сколько может быть уязвимых хостов? Qualys‑ы нашли 45 000 в Fofa и около 20 000 в Shodan. Больше всего, разумеется, находится в Израиле. России в ТОП‑5 стран нет. Для России Fofa показывает 408 хостов. 🤷‍♂️

🩹 На сайте вендора приводятся хотфиксы, скрипт для проверки на компрометацию и рекомендации по харденингу устройств.