Checkpoint ha lanzado parches de seguridad para una vulnerabilidad zero-day de divulgación de información en Check Point VPN, la misma esta identificada como CVE-2024-24919 con puntuación CVSSv3 8.6 de severidad alta.
Productos afectados:
-Security Gateway y CloudGuard Network Security versions: R81.20, R81.10, R81 y R80.40.
-Quantum Maestro y Quantum Scalable Chassis versiones R81.20, R81.10, R80.40, R80.30SP y R80.20SP.
-Quantum Spark Gateways versiones: R81.10.x, R80.20.x y R77.20.x.
Impacto de la vulnerabilidad:
Esta vulnerabilidad podría permitir a un actor malicioso remoto obtener información sensible, omitir restricciones de seguridad y acceder a servicios VPN en sistemas que requieren el uso de contraseñas únicamente como método de autenticación, particularmente para cuentas locales, enumerando y extrayendo hashes de contraseñas, incluida la cuenta utilizada para conectarse a Active Directory.
Actualmente existe una prueba de concepto (PoC) y se tiene constancia de la explotación activa de la misma.
Recomendación:
Aplicar la actualización de la última versión disponible del software del producto afectado desde la página oficial del fabricante. Así también, el fabricante aporta una serie de recomendaciones adicionales:
-Cambiar la contraseña de la cuenta del Security Gateway en Active Directory.
-Evitar que las cuentas locales se conecten a la VPN con autenticación por
contraseña.
-Verificar el uso de protocolos seguros (OpenVPN, IPsec…).
-Implementar mecanismos de autenticación múltiple (MFA).
-Filtrar tráfico VPN mediante el uso de firewalls.
Referencia:
- https://advisories.checkpoint.com/defense/advisories/public/2024/cpai-2024-0353.html
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-en-productos-de-check-point
- https://nvd.nist.gov/vuln/detail/CVE-2024-24919
- https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/