CVE-2024-24919: 深入分析
概述
CVE-2024-24919 是一个严重的信息泄露漏洞,影响 Check Point 的远程访问 VPN 系统。此漏洞允许未经授权的攻击者提取本地账户密码哈希,包括用于连接 Active Directory 的账户哈希。漏洞于 2024 年 4 月首次发现,并已被积极利用。
影响版本
根据 Check Point 官方公告,该漏洞影响以下版本:
- 产品: Check Point Quantum Security Gateways 和 Check Point CloudGuard Network Security Gateways
- 版本:
- R80.20
- R80.30
- R80.40
- R81
- R81.10
- 以及启用了 Mobile Access blade 的所有版本
漏洞类型
此漏洞属于信息泄露(Information Disclosure),风险等级为高危。攻击者可以远程提取敏感信息,无需用户交互或特殊权限。
漏洞成因
漏洞源于 Check Point 安全网关中 Mobile Access blade 的设计缺陷,允许攻击者通过特定路径(例如 https://IP/clients/MyCRL)枚举并提取本地账户的密码哈希。
修复与防范
针对 CVE-2024-24919,建议采取以下措施:
- 立即更新: 将受影响的系统更新至包含补丁的最新版本。
- 移除本地用户: 从网关中移除所有本地用户账户。
- 更换密码: 更改用于从网关连接到 Active Directory 的 LDAP 连接密码。
- 日志检查: 更新后检查日志中的异常行为或登录记录。
- 启用 IPS 规则: 更新 Check Point IPS 签名以检测利用尝试。
此外,通过 SmartConsole 使用查询 action:"Log In" AND auth_method:Password AND blade:"Mobile Access" 来交叉检查登录活动,并在 IDS/IPS 启用的情况下检测到特定 URI 路径以发现利用尝试。
更多详细信息,请参考 Check Point 官方网站 和 mnemonic 的博客 oai_citation:1,Advisories Archive - Check Point Software。