Check Point phát hành bản vá khẩn cấp cho lỗ hổng Zero-day trong VPN

Check Point đã đưa ra cảnh báo về sự gia tăng đột biến các cuộc tấn công nhắm vào các thiết bị VPN, chia sẻ các đề xuất về cách quản trị viên có thể bảo vệ các thiết bị của họ. Công ty này sau đó đã phát hiện ra nguồn gốc của vấn đề, bởi một lỗ hổng zero-day mà tin tặc đã khai thác để tấn công khách hàng của họ. Lỗ hổng có định danh CVE-2024-24919, có mức độ nghiêm trọng cao. Đây là một lỗ hông gây lột lọt thông tin, cho phép kẻ tấn công đọc thông tin trên Check Point Security Gateways được hiển thị trên Internet khi bật Remote Access VPN hoặc Mobile Access Software Blades.

Tại Việt Nam, ngày 31/5, Cục An toàn thông tin (Bộ TT&TT) cũng đã phát cảnh báo về lỗ hổng an toàn thông tin CVE-2024-24919 tới các đơn vị chuyên trách công nghệ thông tin, an toàn thông tin các Bộ, ngành, địa phương; các tập đoàn, tổng công ty nhà nước; các doanh nghiệp cung cấp dịch vụ viễn thông, Internet và nền tảng số và các tổ chức tài chính, ngân hàng thương mại.

Theo phân tích của các chuyên gia, lỗ hổng an toàn thông tin CVE-2024-24919 cho phép đối tượng tấn công không cần xác thực, có thể đọc nội dung tập tin bất kỳ trên sản phẩm tường lửa Check Point Security Gateways kết nối tới Internet. Lỗ hổng này đang bị khai thác trong môi trường thực tế.

Lỗ hổng CVE-2024-24919 là một lỗi Path Traversal (lỗi cho phép đối tượng tấn công đọc các file trên server), ảnh hưởng tới endpoint ‘/clients/MyCRL’ có chức năng trả về nội dung của tập tin trên máy chủ ứng dụng. Việc khai thác thành công lỗ hổng dạng Path Traversal sẽ dẫn tới đối tượng khai thác lỗ hổng có thể đọc nội dung tập tin tùy ý trên hệ thống với đặc quyền cao.

Lỗ hổng CVE-2024-24929 ảnh hưởng đến các giải pháp CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, và Quantum Spark Appliances trong các phiên bản R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x và R81.20.

Để giải quyết lỗ hổng này, Check Point đã phát hành các bản cập nhật bảo mật:

- Quantum Security Gateway và CloudGuard Network Security: R81.20, R81.10, R81, R80.40

- Quantum Maestro và Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

- Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

Để áp dụng bản cập nhật, quản trị viên cần truy cập vào Security Gateway portal > Software Updates > Available Updates > Hotfix Updates và nhấp vào ‘Install’.

Check Point cho biết quá trình này sẽ mất khoảng 10 phút và cần phải khởi động lại.

Áp dụng bản cập nhật thông qua bảng điều khiển

Sau khi cài đặt hotfix, các lần đăng nhập bằng thông tin xác thực và phương pháp xác thực yếu sẽ tự động bị chặn và lưu vào nhật ký.

Đăng nhập bằng thông tin xác thực và phương pháp xác thực yếu sẽ tự động bị chặn

Các bản vá khẩn cấp cũng đã được cung cấp cho các phiên bản đã lỗi thời (EOL), nhưng chúng phải được tải xuống và áp dụng theo cách thủ công.

Check Point đã tạo trang Câu hỏi thường gặp với thông tin bổ sung về lỗ hổng CVE-2024-24919, chữ ký IPS và hướng dẫn cài đặt hotfix thủ công. Ngoài ra, Check Point đã tạo một tập lệnh xác thực quyền truy cập từ xa có thể tải lên SmartConsole và thực thi để xem lại kết quả cũng như thực hiện các hành động thích hợp.

Thông tin thêm về cách cập nhật mật khẩu AD và sử dụng tập lệnh VPNcheck[.]sh có sẵn trên bản tin bảo mật của Check Point.