Check Point VPN Sicherheitslücke legt Informationen offen

Table of Contents

Ende Mai hat Check Point Security eine Warnmeldung zu einer Schwachstelle in seinen Netzwerksicherheits-VPN-Gateways veröffentlicht. Die Schwachstelle CVE-2024-24919 ermöglicht potenziell einem Angreifer, bestimmte Informationen auf Internet-verbundenen Gateways mit aktiviertem Remotezugang VPN oder mobilem Zugriff auszulesen. Die bisher beobachteten Angriffsversuche konzentrieren sich auf Szenarien mit alten lokalen Konten und nur passwortgeschützter Authentifizierung, die als nicht empfehlenswert gilt.

Betroffene Produkte: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances

Versionen: R77.20 (EOL), R77.30 (EOL), R80.10 (EOL), R80.20 (EOL), R80.20.x, R80.20SP (EOL), R80.30 (EOL), R80.30SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x, R81.20

Check Point empfiehlt dringend, keine passwortgeschützten Authentifizierungsmethoden zu verwenden und zusätzliche Authentifizierungsebenen wie Zertifikate hinzuzufügen. Kunden sollten die neueste Lösung von Check Point auf ihren Sicherheitsgateways implementieren, um unbefugten Zugriff zu verhindern. Eine genaue Anleitung zum Fix finden Sie in folgendem Artikel von Check Point.

Update: Proof of Concept

Ein Proof of Concept (PoC) für die Sicherheitslücke CVE-2024-24919 in Check Point Security Gateways nutzt den folgenden cURL-Befehl, um zu überprüfen, ob ein System anfällig ist. Der Befehl sendet eine POST-Anfrage an den Server und versucht, den Inhalt der Datei /etc/passwd zu lesen, um festzustellen, ob die Schwachstelle ausgenutzt werden kann:

curl -i -s -k -X POST \ -H 'Host: <IP-Adresse>' \ -H 'Content-Length: 39' \ --data-binary 'aCSHELL/../../../../../../../etc/passwd' \ 'https://<IP-Adresse>/clients/MyCRL'

Der Befehl deaktiviert die SSL-Verifizierung (-k), setzt den Host-Header und sendet die Nutzlast, die versucht, auf sensible Dateien zuzugreifen. Wenn die Antwort typische Benutzernamen wie “root”, “admin” oder “nobody” enthält, ist das System anfällig. Ein unauthorisierter Angreifer kann also remote einfach die Passworthashes der User stehlen. Administratoren werden daher dringend aufgerufen zu patchen.

Related Posts

Sicherheitslücke in OpenText Dimensions RM ermöglicht beliebiges Dateiauslesen

Schwerwiegende Sicherheitslücken wurde in OpenText Dimensions RM entdeckt, einer Software zur Verwaltung von Anforderungen und Konfigurationsänderungen in Softwareentwicklungsprojekten. Diese Schwachstelle, bekannt unter der Bezeichnung CVE-2024-5202, ermöglicht es Angreifern, beliebige Dateien auf dem Dimensions RM Server zu lesen. Betroffen sind die Versionen 12.10, 12.11, 12.11.1 und CE 23.4 (12.11.2).

Read More

TP-Link Omada ER605 VPN Router ermöglicht Remote Code Execution

Im Rahmen des Pwn2Own-Wettbewerbs wurde eine schwerwiegende Sicherheitslücke in den TP-Link Omada ER605 Routern entdeckt. Diese Schwachstelle, bekannt als CVE-2024-5228, ermöglicht es netzwerkbenachbarten Angreifern, beliebigen Code auf den betroffenen Installationen auszuführen. Die Schwachstelle wurde mit einem CVSS-Score von 7.5 (AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) bewertet.

Read More

Phishing Trends: Cloudflare Workers und HTML Smuggling

Cybersecurity-Forscher von Netskope Threat Labs warnen vor Phishing-Kampagnen, die Cloudflare Workers missbrauchen, um Phishing-Seiten bereitzustellen, die Benutzerdaten von Microsoft, Gmail, Yahoo! und cPanel Webmail erbeuten. Cloudflare Workers ist eine serverlose Plattform, die von Angreifern missbraucht wird, um Phishing-Seiten bereitzustellen. Diese Phishing-Kampagnen zielen hauptsächlich auf die Bereiche Technologie, Finanzdienstleistungen und Banken ab. Diese Methode, bekannt als Adversary-in-the-Middle (AitM) Phishing, verwendet die Cloudflare Workers als Reverse-Proxy-Server für eine legitime Login-Seite, um den Datenverkehr zwischen dem Opfer und der Login-Seite abzufangen und Anmeldeinformationen, Cookies und Tokens zu erfassen.

Read More