Недавно обнаруженная уязвимость CVE-2024-24919 позволяет неавторизованным злоумышленникам читать произвольные файлы на устройствах межсетевого экранирования Check Point.
Эта уязвимость содержится в продукте Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access.
На данный момент уязвимость получила высокую оценку критичности по шкале CVSSv3 — 7.5.
Однако мы в СайберОК считаем её максимально критичной (уровень критичности «шторм») и требующую немедленного устранения, поскольку на общедоступных ресурсах уже доступны технические подробности, позволяющие поэксплуатировать эту уязвимость.
Затронутые версии
Уязвимость обнаружена в следующих версиях:
R77.20 (EOL)
R77.30 (EOL)
R80.10 (EOL)
R80.20 (EOL)
R80.20.x
R80.20SP (EOL)
R80.30 (EOL)
R80.30SP (EOL)
R80.40 (EOL)
R81
R81.10
R81.10.x
R81.20
Обнаружение уязвимых устройств
Эксперты СайберОК уже выявили более 1700 уязвимых устройств в Рунете, которые подвержены данной уязвимости. Эти устройства находятся под угрозой несанкционированного доступа и требуют немедленного обновления.
Рекомендации
Для защиты от возможных атак мы рекомендуем предпринять следующие меры:
Временно ограничить доступ из сети Интернет к службам VPN и Mobile Access.
Установить хотфикс в соответствии с рекомендациями производителя. Подробности можно найти по ссылке: https://support.checkpoint.com/results/sk/sk182336.
Проверить журнал веб-сервера на наличие запросов вида:
POST <host>/clients/MyCRL
Если такие запросы обнаружены, следует:
a. Зарегистрировать инцидент информационной безопасности.
b. Сбросить пароли для всех локальных учетных записей устройства и для LDAP-учетной записи в службе каталогов.
c. Провести полноценное расследование инцидента.
Более подробную информацию можно найти в блоге Check Point.
Администраторам СЗИ рекомендуется срочно принять вышеуказанные меры для предотвращения возможных атак и защиты своих систем.
