Check Point’in VPN teknolojisinde yakın zamanda ortaya çıkan bir bilgi ifşa kusurunu hedef alan istismar faaliyetleri son günlerde hızla arttı ve kuruluşların bu kusuru derhal gidermesi ihtiyacını artırdı.
Olarak tanımlanan güvenlik açığı CVE-2024-24919, Check Point’in CloudGuard Ağı, Quantum Maestro, Quantum Ölçeklenebilir Kasa, Quantum Güvenlik Ağ Geçitleri ve Quantum Spark cihazlarının birden çok sürümündeki yazılımı etkiler. Etkilenen ürünlerin tümü, IPsec VPN işlevine sahip Check Point güvenlik ağ geçitleridir.
Tehlikeli Güvenlik Açığı
Check Point, saldırganların güvenlik ağ geçitlerindeki hassas bilgilere erişmesine olanak tanıyan ve bazı durumlarda güvenliği ihlal edilmiş bir ağ üzerinde yatay olarak hareket etmelerine ve etki alanı yönetici ayrıcalıkları kazanmalarına olanak tanıyan güvenlik açığı konusunda uyardı. Güvenlik sağlayıcısı güvenlik açığını 28 Mayıs’ta açıkladı – bunun için bir düzeltme ile birlikte – aktif istismar girişimlerine ilişkin raporların ortasında. Check Point, kullanım faaliyetinin, açıklamadan yaklaşık iki ay önce, Nisan ayı başlarında başladığını tespit etti.
Bu hafta yayınlanan bir raporda, İnternet trafiği tarama firması Greynoise, hızla artan sömürü 31 Mayıs’tan bu yana veya kusurun kavram kanıtının kamuya açık hale gelmesinden kısa bir süre sonra CVE-2024-24919’u hedef alan girişimlerde bulunuldu. Greynoise’a göre, güvenlik açığını hedeflemeye yönelik ilk girişimler aslında Tayvan merkezli bir IP adresinden bir gün önce başladı ancak bunlar çalışmayan bir istismar içeriyordu.
Büyük Ölçekli Sömürü Girişimleri
İlk gerçek istismar girişimi New York merkezli bir IP adresinden kaynaklandı. 5 Haziran itibarıyla Greynoise dünyanın dört bir yanından güvenlik açığını hedef alan 782 kadar IP tespit etti. Greynoise, “Konseptin kamuya açık bir kanıtının ortaya çıkması ve istismarın hızla artması nedeniyle Check Point’e mümkün olan en kısa sürede yama uygulanmasını öneriyoruz.” dedi.
Bu hafta başında yapılan bir Censys taraması 13.754 adet internete açık sistem tespit edildi Check Point’in CVE-2024-24919’dan etkilendiğini belirlediği üç yazılım ürününden en az birini çalıştırıyor. Açığa çıkan ana bilgisayarların yaklaşık 12.100’ü Check Point Quantum Spark ağ geçidi cihazları, yaklaşık 1.500’ü Quantum Security Gateway’ler ve yaklaşık 137’si Check Point CloudGuard cihazlarıydı. İnternet’e açık ana bilgisayarların 6.000’den fazlası Japonya’da bulunuyordu. Check Point cihazlarının nispeten yüksek konsantrasyonda olduğu diğer ülkeler arasında İtalya (1.012), ABD (917) ve İsrail (845) yer alıyor.
Censys’in taraması sırasında, İnternet’e açık Check Point Quantum Spark ağ geçitlerinin %2’sinden azı, etkilenen yazılımın yamalı bir sürümünü çalıştırıyor gibi görünüyordu.
Bulması ve Kullanımı Kolay
WatchTowr’da Check Point kusurunu analiz eden araştırmacılar bunu bulmanın çok da zor olmadığını açıkladılar ve “istismar edilmesi son derece kolaydır.” Check Point, kusura CVSS ölçeğinde 10 üzerinden 8,6 önem derecesi atadı ve onu hedef alan istismarların düşük karmaşıklık, kullanıcı etkileşimi ve özel kullanıcı ayrıcalıkları içermediğini açıkladı.
ABD Siber Güvenlik ve Bilgi Güvenliği Ajansı (CISA), CVE-2024-24919’u kataloğuna ekledi bilinen istismar edilen güvenlik açıkları. Tüm federal sivil yürütme organı kurumlarının 20 Haziran’a kadar ya Check Point’in kusura yönelik tavsiye ettiği hafifletici önlemleri uygulaması ya da etkilenen ürünleri, sorunu düzeltene kadar kullanmayı bırakması gerekiyor. Geçmişte, CISA ve FBI ile NSA gibi diğer kuruluşlar, VPN’lerdeki ve diğer güvenli erişim teknolojilerindeki güvenlik açıklarının, organizasyonlar için yüksek risk teşkil ettiği konusunda defalarca uyarıda bulunmuştu. saldırganlar bu kusurları hedef aldı Son yıllarda.
Check Point, etkilenen kuruluşların güvenlik açığını gidermek için en son Jumbo Düzeltme Biriktiricilerini yüklemelerini önerdi. Jumbo Düzeltme Biriktiricisini (temel olarak şunları içeren bir paket) hemen dağıtamayan kuruluşlar birden fazla soruna yönelik düzeltmeler Check Point, birden fazla üründe CVE-2024-24919 güvenlik düzeltmesinin yüklenmesi gerektiğini belirtti.
Güvenlik satıcısına göre kuruluşların, Uzaktan Erişim VPN Topluluğunun bir parçası olarak IPSec VPN Software Blade özelliğinin etkinleştirildiği veya Mobil Erişim Yazılımı Blade özelliğinin etkinleştirildiği etkilenen herhangi bir güvenlik ağ geçidine ve kümeye düzeltmeyi yüklemesi gerekir.
Censys, “Bu, vahşi doğada aktif olarak istismar edilen kritik bir güvenlik açığıdır” diye uyardı. Ancak şirket, birkaç hafifletici faktörün de bulunduğunu belirtti. Öncelikle güvenlik açığı yalnızca belirli yapılandırmalara sahip ağ geçitlerini etkiliyor. Ayrıca, “başarılı bir şekilde yararlanma, cihazın tamamının ele geçirildiği anlamına gelmez; cihazınızın yerel dosya sisteminde açığa çıkan şifre dosyalarının bulunması gibi diğer koşulların da mevcut olması gerekir.”
