CVE-2024-24919
Checkpoint Arbitrary File Read

Introduction

 

Remote    
Authenticated   
Default config 
 
Source  🌍 

Produits concernées 

  • CloudGuard Network 
  • Quantum Maestro 
  • Quantum Scalable Chassis 
  • Quantum Security Gateways 
  • Quantum Spark Appliances 

Versions concernées 

  • R77.20 (EOL)  
  • R77.30 (EOL)  
  • R80.10 (EOL) 
  • R80.20 (EOL)  
  • R80.20.x 
  • R80.20SP (EOL) 
  • R80.30 (EOL) 
  • R80.30SP (EOL) 
  • R80.40 (EOL) 
  • R81 
  • R81.10 
  • R81.10.x 
  • R81.20 

Détails

En date du 26 Mai 2024, la société Checkpoint communiquait sur l’observation d’un nombre grandissant de tentative d’exploitation de solution d’accès distant type VPN, et plus particulièrement sur certaines solutions de la société ayant été compromises. Pour paraphraser le communiqué du fournisseur, ces solutions compromises l’ont été via d’anciens comptes locaux utilisant une authentification à base de mot de passe non recommandée. 

Cependant, depuis, peu d’informations ont été communiquées sur la teneur de cette vulnérabilité, tant sur les impacts de celle-ci que sur l’origine de cette vulnérabilité. 

Le 30 Mai, la société Watchtowr, habituée depuis quelques mois à l’analyse des vulnérabilités des boitiers de sécurité, a publié une analyse par comparaison. Cette analyse permet de comprendre la portée d’une attaque réussie, mais également de permettre une détection de celle-ci. 

Détection

Le contenu nous apprend donc que le endpoint utilisé est /clients/MyCRL. Mieux encore, ce endpoint permet de passer un nom de fichier à télécharger (soit via l’URL soit via un POST).  

La suite de l’analyse, précise les protections mises en place par l’éditeur ainsi qu’un contournement possible source de cette vulnérabilité. Bien que la liste des fichiers téléchargeables soit normalement présentes dans une liste définie, l’utilisation de la fonction strstr fait qu’en réalité seule la présence d’une de ces chaînes de caractère suffit à passer outre cette protection. Le reste de l’attaque n’est ni plus, ni moins qu’un Path Traversal classique. 

 

Actuellement la solution Aioniq permet la détection de la compromission initiale grâce à la règle :  

 

2053031 ET WEB_SPECIFIC_APPS Checkpoint Quantum Security Gateway Arbitrary File Read Attempt (CVE-2024-24919)

 

Correction

L’éditeur a d’ores-et-déjà publié un correctif pour cette vulnérabilité. Dans le cas de version en fin de support, l’éditeur encourage les utilisateurs à mettre à jours leurs équipement et à appliquer le hotfix ou, si cela n’est pas possible, à désactiver les accès à distances et les accès mobiles. 

Comme le souligne Watchtowr dans son analyse, les conséquences d’une exploitation réussie de cette vulnérabilité sont beaucoup plus importantes que ne le laisse sembler le descriptif de cette dernière.