2024年5月29日、セキュリティ企業の mnemonic はブログを公開し、2024年4月30日以降、CVE-2024-24919 が悪用され、Active Directory への接続に使用されるアカウントを含むすべてのローカル・アカウントのパスワード・ハッシュが列挙され、抽出されることを確認したと報告しました。また、脆弱性のあるチェック・ポイント・ゲートウェイに対する最初の攻撃から数時間以内に、侵害されたユーザの Active Directory サーバから「ntds.dit」ファイルを抽出し、水平展開するケースも確認されています。

2024年5月30日、watchTowrはPoCを含むCVE-2024-24919の技術的詳細を公表しました。

2024年5月31日、チェック・ポイントはアドバイザリを更新し、さらなる分析の結果、最初の悪用の試みは、これまで考えられていた4月30日ではなく、実際には2024年4月7日に開始されたことが判明したと発表しました。

この脆弱性は、認証されていないリモートの攻撃者が、影響を受けるアプライアンス上にある任意のファイルの内容を読み取ることを可能にします。例えば、攻撃者がアプライアンスの /etc/shadow ファイルを読み取り、ローカルアカウントのパスワードハッシュを開示することが可能になります。攻撃者は、このファイルを読むことに限らず、機密情報を含む他のファイルを読むことができます。攻撃者は、これらのローカルアカウントのパスワードハッシュをクラックできる可能性があり、セキュリティゲートウェイがパスワードのみの認証を許可している場合、攻撃者はクラックされたパスワードを使用して認証を行う可能性があります。

緩和ガイダンス

ベンダ勧告によると、CVE-2024-24919 の脆弱性は、以下の製品に存在します：

• CloudGuard Network
• Quantum Maestro
• Quantum Scalable Chassis
• Quantum Security Gateways
• Quantum Spark Appliance

チェック・ポイントは、セキュリティ・ゲートウェイに以下の設定が適用されている場合、脆弱性が存在する可能性があると指摘しています：

• IPSec VPN」ブレードが有効になっており、セキュリティゲートウェイデバイスが「リモートアクセス」VPNコミュニティの一部である場合。
• モバイルアクセス」ブレードが有効になっている場合。

チェック・ポイントは、Quantum Security Gateway、Quantum Maestro、Quantum Scalable Chassis、およびQuantum Spark Applianceに対するHotfixをリリースしました。影響を受けるバージョンおよびホットフィックスの最新情報については、チェック・ポイントのアドバイザリをご参照ください。

ベンダー・アドバイザリでは、「CCCD を使用しているお客様は、Hotfix を有効にするためにこの機能を無効にする必要があります。すべての組織は、パッチを適用したすべてのチェック・ポイント製デバイスで CCCD 機能が無効になっていることを手動で確認する必要がある。ベンダーのアドバイザリによると、アプライアンスの「エキスパート・モード」で vpn cccd status コマンドを実行し、CCCD が無効になっていることを確認する必要が���る。

ベンダーが提供する修正プログラムを直ちに適用する必要があります。Rapid7 では、Check Point Security Gateway をご利用のお客様に対し、ベンダーが提供する修正プログラムを適用するだけでなく、侵害の兆候がないかどうかを確認し、ローカル・アカウントの認証情報をリセットすることを強く推奨しています。

チェック・ポイントでは、同社チームが確認した悪用の試みについて、「推奨されていないパスワードのみの認証で、古いローカル・アカウントを使用したリモート・アクセス・シナリオに焦点を当てている」と指摘しています。同社では、ローカル・アカウントの使用状況を確認し、使用していないローカル・アカウントを無効化し、パスワードのみの認証ではなく証明書ベースの認証を追加することを推奨している。リモート・アクセスのためのユーザーおよびクライアント認証に関する詳細および推奨事項は、こちらをご覧ください。

IOC

任意のファイル読み取りによる悪用を特定する信頼できる方法は確認されていない。しかし、ウェブ管理パネルとSSHログインが成功すると、/var/log/messages、/var/log/audit/audit.log、および/var/log/authにログが記録されます。

「192.168.181.1」からローカルPAM認証でユーザ「admin」としてウェブ管理パネルにログインした後の/var/log/audit/audit.logの内容：

type=USER_AUTH msg=audit(1717085193.706:656): pid=65484 uid=99 auid=4294967295 ses=4294967295 subj=kernel msg='op=PAM:authentication grantors=pam_dof_tally,cp_pam_tally,pam_unix acct="admin" exe="/usr/sbin/httpauth" hostname=192.168.181.1 addr=192.168.181.1 terminal=? res=success'

Web 管理パネルに「192.168.181.1」のユーザー「admin」としてローカル PAM 認証でログインした後の /var/log/messages の内容：

May 30 08:30:25 2024 gw-6f7361 httpd2: HTTP login from 192.168.181.1 as admin

192.168.181.1」からローカル PAM 認証でユーザー「admin」としてウェブ管理パネルにログインした後の /var/log/auth の内容：

May 30 08:30:31 2024 gw-6f7361 httpd2: HTTP login from 192.168.181.1 as admin

ローカル PAM 認証で '192.168.181.1' からユーザ 'admin' として SSH ログインした後の /var/log/messages の内容：

May 30 08:34:24 2024 gw-6f7361 xpand[176227]: admin localhost t +volatile:clish:admin:66699 t
May 30 08:34:24 2024 gw-6f7361 xpand[176227]: User admin logged in with ReadWrite permission

ローカル PAM 認証で '192.168.181.1' からユーザ 'admin' として SSH ログインした後の /var/log/secure の内容：

May 30 08:30:31 2024 gw-6f7361 sshd[66690]: Accepted password for admin from 192.168.181.1 port 62487 ssh2

Rapid7のお客様

InsightVMとNexposeのお客様は、5月30日のコンテンツ・リリースで配布される認証されていない脆弱性チェックにより、CVE-2024-24919への露出を評価することができます。

InsightIDR および Managed Detection and Response をご利用のお客様は、Rapid7 の広範な検出ルールライブラリにより、既存の検出カバレッジを利用できます。Rapid7は、疑わしいプロセスを可視化し、適切な検出範囲を確保するために、該当するすべてのホストにInsight Agentをインストールすることを推奨します。以下は、この脆弱性に関連するエクスプロイト後の動作について警告を発する、導入されている検出の非網羅的なリストです：

• 不審なウェブ・サーバー・リクエスト - パス・トラバーサル攻撃の成功
• 不審な Web リクエスト - Check Point VPN (CVE-2024-24919) が悪用された可能性

更新情報

2024年5月30日IOC セクションを追加。2024年5月30日、CVE-2024-24919 が米国サイバーセキュリティ・インフラストラクチャ庁（CISA）の既知の悪用される脆弱性（KEV）リストに追加されました。

2024年5月31日：チェック・ポイントのアドバイザリが更新され、最初の悪用試みは、従来考えられていた4月30日ではなく、2024年4月7日に開始されたことが明らかになりました。

2024年6月3日：デフォルトで無効になっているCCCD機能に関するCheck Pointのアドバイザリの更新に伴い、「緩和策」のセクションを更新しました。この機能を無効にしないと、Hotfixが有効にならないバージョンもあります。

※本ブログは英語版ブログ "CVE-2024-24919: Check Point Security Gateway Information Disclosure" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。