התרעת אבטחה קריטית: CVE-2024-24919 ב-Check Point Security Gateway

פגיעות מסוג Zero-Day (פגיעות יום אפס) ב־Check Point Security Gateway, פתרון פופולרי ל־VPN, נוצל על ידי גורמים זדוניים. הפגיעות, אשר מזוהה כ־CVE-2024-24919, מאפשרת לתוקף לעקוף אימות ולגשת למידע רגיש מממשק הניהול של ה־Gateway. לפי צ'ק פוינט, הפגיעות משפיעה על כל מוצרי Check Point Security Gateway שבהם הופעל אחד מאלה:
• Mobile Access Software Blade
• IPsec VPN Blade

חשוב לציין שהפגיעות רלוונטית רק במקרים בהם אחת מהתוכנות הנ"ל הופעלה כחלק מ־Remote Access VPN community.

חוקרים בצ'ק פוינט גילו את הפגיעות לאחר שצפו בניסיונות תקיפה אצל ספקים. לפי צ'ק פוינט, התוקפים ניצלו את הפגיעות כדי להוריד קובצי הגדרה (configuration files), תעודות, סיסמאות ומידע רגיש אחר מ־Gateways שנפגעו. התוקפים ניסו גם לבצע פקודות על גבי ה־Gateways, אך נחסמו על ידי מנגנון ההגנה העצמית של המערכת.

בעקבות זאת חברת צ'ק פוינט פרסמה ייעוץ אבטחה עם צעדי צמצום נזק ו־Hotfix. החברה ממליצה ללקוחות להתקין את ה־Hotfix בהקדם האפשרי ולצמצם את הגישה לממשק הניהול לרשתות מהימנות בלבד. על הלקוחות גם לפקח על ה־Gateways שלהם לכל סימן של פריצה ולדווח על כל פעילות חשודה לצ'ק פוינט.

CVE-2024-24919 מהווה איום רציני על האבטחה והפרטיות של משתמשי Check Point Security Gateway. הפגיעות חושפת את ה־Gateways לתקיפות מרחוק ולדליפות מידע, ויכולה לאפשר תנועה רוחבית נוספת או הסלמה של הרשאות ברשת. על הלקוחות לפעול במהירות כדי להגן על ה־Gateways שלהם ולמנוע כל נזק מהתקיפות המתמשכות.

המלצות אבטחת מידע לארגונים בנוגע ל־CVE-2024-24919 מאת מומחי IPV Security:

1. יישום מיידי של Hotfix: יש להתקין את ה־Hotfix שסופק על ידי צ'ק פוינט באופן מיידי. זהו קו ההגנה העיקרי נגד ניצול הפגיעות CVE-2024-24919. ה־Hotfix מטפל בפגיעות הספציפית המאפשרת גישה לא מורשית לממשק הניהול.
2. הגבלת גישה לממשק הניהול: יש לקבוע הגדרות בקרת גישה לרשת כדי שרק רשתות מהימנות יוכלו לגשת לממשק הניהול של Check Point Security Gateway. הגבלת הגישה מפחיתה את שטח הפנים הפגיע לתקיפה ומונעת ממשתמשים בלתי מורשים לנצל את הפגיעות.
3. ניטור ובדיקת פעילות ה־Gateway: יש לנטר ולאסוף לוגים באופן רציף של פעולות ב־Check Point Security Gateways לכל התנהגות חריגה או חשודה. גילוי מוקדם של ניסיונות תקיפה מאפשר תגובה מהירה כדי לצמצם כל נזק. יש לשים לב בעיקר לניסיונות הורדה של קובצי הגדרה, תעודות וסיסמאות, או ניסיונות לבצע פקודות לא מורשות.
4. יישום סגמנטציה ברשת: יש ליישם סגמנטציה לרשתות כדי לבודד מערכות קריטיות וממשקי ניהול מרשתות משתמשים רגילות וממקורות איום פוטנציאליים. סגמנטציה ברשת מגבילה את היכולת של תוקפים לנוע באופן רוחבי בתוך הרשת ולפיכך היא מגבילה את הסיכוי לפריצות פוטנציאליות.
5. שיפור יכולות תגובת אבטחה: יש לוודא שצוותי תגובת האבטחה ערוכים להתמודד עם פגיעות פוטנציאליות ב־Check Point Security Gateway. יש לפתח ולתרגל תוכניות תגובת אבטחה ספציפיות לתרחיש זה. צוות תגובת אבטחה מוכן היטב יכול לצמצם במהירות את ההשפעה של מתקפה, ולשמור על שלמות וזמינות של משאבי הרשת.
6. יישום עיקרון של מינימום הרשאות (Least Privilege): יש לבדוק ולצמצם את ההרשאות של חשבונות שיש להם גישה לממשק הניהול של Check Point Security Gateway. הפחתת מספר חשבונות בעלי הרשאות גבוהות והבטחה שלמשתמשים יש את ההרשאות הדרושות בלבד, מפחיתה את ההשפעה של Credential Theft.
7. עדכון קבוע של Patch System: יש לתחזק תהליך Patch Management יעיל כדי להבטיח שכל המערכות, בייחוד התקני אבטחה, כגון חומות אש ו־VPNs, יהיו מעודכנים עם תיקוני האבטחה האחרונים. עדכונים ופאטצ'ים קבועים מתקנים פגיעויות שעלולות להיות מנוצלות על ידי תוקפים, ושומרים על רמת האבטחה של הארגון.
8. חינוך והכשרה של צוות: יש לקיים הדרכות לצוותי IT ואבטחה על המאפיינים הספציפיים של CVE-2024-24919 ועל החשיבות של עמידה בנוהלי אבטחה מיטביים. צוות מודע יותר עשוי לזהות ולהגיב כראוי לאירועי אבטחה פוטנציאליים, ולהפחית את הסיכון למתקפות מוצלחות.
9. שיתוף פעולה עם צ'ק פוינט: יש ליצור קשר עם תמיכת צ'ק פוינט ולשתף פעולה בקבלת הודעות ייעוץ האבטחה שלהם. תקשורת ישירה עם הספק מבטיחה שארגונים יקבלו עדכונים בזמן ומידע קריטי בנוגע לפגיעויות אבטחה ופאטצ'ים.
10. דיווח על פעילות חשודה: יש לדווח באופן מיידי על כל פעילות חשודה הקשורה ל־Check Point Security Gateways לצ'ק פוינט לצורך ניתוח והנחיה נוספים. דיווח על אירועים מסייע לצ'ק פוינט להבין טוב יותר את גודל האיומים ולספק תמיכה ועדכונים יעילים יותר.

לכל התייעצות בנוגע לאבטחת מידע ניתן לפנות לחברת IPV Security במייל info@ipvsecurity.com או במספר הטלפון 077-4447130. החברה מתמחה זה 19 שנה באבטחת מידע ועוסקת בסקרי סיכונים הנוגעים לביטחון מידע.