CVE-2024-24919

Check Point Quantum Security Gateways

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-05-30

Официальное описание

Check Point Quantum Security Gateways contain an unspecified information disclosure vulnerability. The vulnerability potentially allows an attacker to access information on Gateways connected to the internet, with IPSec VPN, Remote Access VPN or Mobile Access enabled. This issue affects several product lines from Check Point, including CloudGuard Network, Quantum Scalable Chassis, Quantum Security Gateways, and Quantum Spark Appliances.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-24919 представляет собой критическую уязвимость раскрытия информации (Information Disclosure) с высоким уровнем риска (CVSS 8.6). Проблема заключается в возможности обхода аутентификации при определенных условиях, что позволяет неавторизованному удаленному злоумышленнику прочитать произвольные файлы на шлюзе безопасности.

Уязвимость эксплуатируется через веб-сервер шлюза, если на нем активированы программные блейды IPSec VPN, Remote Access VPN или Mobile Access. Злоумышленник может получить доступ к чувствительным данным, таким как /etc/shadow, что в дальнейшем позволяет скомпрометировать учетные записи (включая локальные аккаунты с парольной аутентификацией) и получить полный контроль над устройством.

Как исправить

Основным способом устранения является установка официального исправления (Hotfix) от Check Point.

  1. Подключитесь к Gaia Portal или через SSH (Expert Mode).
  2. Используйте CPUSE (Check Point Upgrade Service Engine) для установки актуального Hotfix.
  3. Для автоматической установки через CLI выполните:
installer software install-hotfix <Hotfix_Name>

Примечание: Имя пакета зависит от версии вашей ОС (R80.x, R81.x). Актуальные идентификаторы пакетов доступны в SK182336.

  1. После установки убедитесь, что версия ПО обновлена:
cpinfo -y all

Временные меры

Если немедленная установка патча невозможна, необходимо минимизировать риски следующими действиями:

  1. Ограничьте доступ к порталу Remote Access VPN, разрешив подключения только с доверенных IP-адресов (если применимо).
  2. Отключите использование слабых методов аутентификации (только по паролю) для локальных учетных записей. Переведите администраторов на использование сертификатов или RADIUS/LDAP с MFA.
  3. Включите и обновите сигнатуры IPS (Intrusion Prevention System). Убедитесь, что защита "Check Point Quantum Gateway Information Disclosure (CVE-2024-24919)" установлена в режим "Prevent".
  4. Проверьте наличие подозрительной активности в логах (поиск попыток доступа к системным файлам):
grep "etc/shadow" $FWDIR/log/fw.log
  1. Сбросьте пароли для всех локальных учетных записей Gaia после установки патча, так как они могли быть скомпрометированы до момента исправления.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей