Mobil Erişim blade’leri veya IPsec VPN’nin etkin olduğu Check Point Ağ Geçitlerini etkileyen güvenlik açıkları için Avustralya Siber Güvenlik Merkezi (ACSC) tarafından yüksek düzeyde bir uyarı bildirimi yayınlandı. CVE-2024-24919 olarak tanımlanan sıfır gün güvenlik açığı, saldırganların duyarlı sistemlerdeki özel verilere erişmesine olanak tanıyor ve aynı zamanda büyük ağların güvenliğini tehlikeye atabiliyor.
Kontrol Noktası Ağ Geçitlerindeki Güvenlik Açığı CVE-2024-24919 Açıklaması
CVE-2024-24919, rastgele dosya okuma güvenlik açığı olarak sınıflandırıldı. Bu, bir saldırganın önceden kimlik doğrulamaya veya özel ayrıcalıklara ihtiyaç duymadan güvenlik açığından yararlanarak virüslü herhangi bir dosyayı okuyabileceği anlamına gelir. Saldırganlar, etkilenen cihazdaki herhangi bir dosyayı okuyarak bu kusurdan yararlanabilir.
Saldırganlar, karma parolaları kırarak veya bunları gelecekte kimlik avı saldırıları için kullanarak kullanıcı kimlik bilgilerini çalmak için bu güvenlik açığından yararlanabilir. Saldırganlar ayrıca bir ağ içinde hareket etmek ve daha hassas sistemlere erişmek için çalıntı kimlik bilgilerini kullanarak yan saldırılar başlatabilirler. Ayrıca kritik verileri silebilir veya değiştirebilir ve kötü amaçlı yazılım yükleyerek operasyonları kesintiye uğratabilir, böylece gelecekte ağ içinde saldırı başlatmak için erişim kazanabilirler.
ACSC, 31 Mayıs’ta yayınladığı yüksek uyarı bildiriminde, yama yapılmamış Check Point cihazlarını hedef alan aktif istismar girişimlerini doğruladı. Check Point, CVE-2024-24919 güvenlik açığını gidermek için bir düzeltme yayınladı. Güvenlik açığından yararlanılması, saldırganların hassas bilgilere erişmesine ve bir ağ içinde yatay olarak hareket etmelerine olanak vererek potansiyel olarak tam kontrolü ele geçirmelerine (etki alanı yöneticisi ayrıcalıkları dahil) olanak tanıyabilir.
Check Point Gateway’ler: Dünya çapında 15.000’den fazla cihaz savunmasız
Saldırı yüzeyi yönetimi ve tehdit istihbaratı için Cyble tarafından geliştirilen bir İnternet arama motoru olan ODIN üzerinde yapılan araştırma, küresel olarak Check Point cihazlarının 15.000’den fazla örneğinin internete açık ve potansiyel olarak savunmasız olduğunu ortaya çıkardı. ODIN kullanıcıları, platformdaki internete açık Check Point cihazlarını takip etmek için http.title:“Check Point SSL Network Extender” sorgulama hizmetleri modüllerini kullanabilirler. Etkilenen Check Point ürünleri şunları içerir:
- CloudGuard Ağı
- Maestro kadar
- Kuantum Ölçeklenebilir Kasa
- Kuantum Güvenlik Ağ Geçitleri
- Kuantum Kıvılcım Aletleri
Etkilenen yazılım sürümleri şunları içerir:
- R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x ve R81.20
Kontrol Noktası Kusuruna Karşı Korumak İçin Şimdi Yama Yapın
ACSC, Check Point Security Gateway cihazlarını kullanan Avustralyalı kuruluşlara, sistemlerini etkilenen yazılım sürümleri açısından incelemelerini ve Check Point’in talimatlarına göre ilgili yamaları uygulamalarını şiddetle tavsiye etti. Ek bir güvenlik önlemi olarak, özellikle parola karmalarının tehlikeye girebileceği göz önüne alındığında, potansiyel riskleri azaltmak amacıyla birçok kuruluşa yamalı sistemlerde yerel hesap kimlik bilgilerini sıfırlama talimatı verildi.
Büyüyen Bir Tehdit
ACSC’nin uyarısı özellikle Avustralyalı kuruluşlar için yayınlanmış olsa da, güvenlik açığı önemli bir küresel tehdit oluşturuyor. Dünya çapındaki kuruluşlar, etkilenen Check Point cihazlarını belirlemek ve yama yapmak için derhal harekete geçmelidir. CVE-2024-24919’un keşfi ve ardından kullanılması gelişen bir durumdur.
Önümüzdeki birkaç gün içinde şunları bekleyebiliriz:
Daha Fazla Analiz: Güvenlik araştırmacıları sıfır gün güvenlik açığını ve buna karşılık gelen etkisini analiz etmeye devam edecek. İstismar mekanizmalarını ve potansiyel saldırı vektörlerini özetleyen ayrıntılı teknik raporların gelmesi beklenebilir.
Kullanım Kodu Kullanılabilirliği: Kötü niyetli aktörler ayrıca CVE-2024-24919 için kamuya açık yararlanma kodunu da yayınlayabilir. Bu, savunmasız cihazları hedef alan saldırıların sayısını önemli ölçüde artırabilir. Kuruluşların bu tür potansiyel istismar girişimlerini tespit etmeye ve bunlara yanıt vermeye hazırlıklı olması gerekir.
Yama Güncellemeleri ve Rehberlik: Check Point’in devam eden analize dayalı olarak güvenlik düzeltmelerini iyileştirip güncelleştirmesi muhtemeldir. Kuruluşlar, Check Point’ten gelecek güncellemeler veya gözden geçirilmiş yama talimatlarına karşı tetikte olmalıdır.
Artan Saldırı Girişimleri: Güvenlik açığıyla ilgili haberler yayıldıkça, yama yapılmamış Check Point cihazlarını hedef alan saldırı girişimlerinde beklenen bir artış olabilir. Kuruluşlar yama uygulamaya öncelik vermeli ve ağlarındaki şüpheli etkinliklere karşı dikkatli olmalıdır.
İlgili Güvenlik Açıklarının Keşfi: CVE-2024-24919’un keşfi, diğer Check Point ürünlerinde veya farklı satıcıların güvenlik yazılımlarında benzer güvenlik açıklarının belirlenmesine yol açabilir. Kuruluşlar ilgili güvenlik açıkları hakkında bilgi sahibi olmalı ve uygun hafifletici önlemleri almalıdır.