I. 概要
2024年5月28日(現地日付)、Check Point Software Technologiesは、同社製品のVPN機能における情報漏えいの脆弱性(CVE-2024-24919)に関するアドバイザリを公開しました。脆弱性の影響を受ける条件に合致する設定で使用する場合、遠隔の第三者によって同製品上から機微情報が窃取される可能性があります。
同社によると、2024年5月24日(現地日付)までに、パスワード認証のみを使用するローカルアカウントを使用してVPN機能を用いて不正にログインを試みる活動が観測されており、同脆弱性を悪用する攻撃が2024年4月末から確認されていたと示す公開情報も確認されています。また、JPCERT/CCは本情報の公開時点で、同脆弱性の詳細を解説する情報が公表されていることを確認しています。今後同脆弱性を悪用する攻撃が増加する可能性があるため、影響を受ける製品を利用している場合、同社が提供する最新の情報をご確認の上、推奨される対策や調査を実施いただくことを推奨します。
本情報では、同社が公開する情報などをもとに、同脆弱性の対象、対策、推奨される追加対応、調査方法などに関する情報を掲載します。JPCERT/CCは本脆弱性に関する国内における影響範囲や対応状況に関する情報を収集しています。ご提供いただける情報がありましたら、JPCERT/CC 早期警戒グループまでご連絡ください。
Check Point Software Technologies
Important Security Update – Stay Protected Against VPN Information Disclosure (CVE-2024-24919)
https://blog.checkpoint.com/security/enhance-your-vpn-security-posture
II. 対象
対象となる製品名は次のとおりです。詳細なバージョンなどについては、Check Point Software Technologiesのアドバイザリの最新の情報をご確認ください。
- Quantum Maestro
- Quantum Scalable Chassis
- Quantum Security Gateways
- Quantum Spark Appliances
- CloudGuard Network
** 更新: 2024年7月23日 *******************************************
なお、次の設定の場合に本脆弱性の影響を受けます。
CloudGuard Network、Quantum Maestro、Quantum Scalable Chassis、Quantum Security Gateways、Quantum Spark Appliance
- IPsec VPN Bladeが有効、かつセキュリティゲートウェイがリモートアクセスVPNコミュニティの⼀部である
- または、Mobile Access Software Bladeが有効
Quantum Spark Applianceをローカル管理で使⽤する場合
- リモートアクセス機能が有効
** 更新終了 ******************************************************
III. 対策
2024年5月28日(現地日付)、Check Point Software Technologiesは本脆弱性を修正するHotfixの提供を開始しました。詳細は、同社のアドバイザリの最新の情報をご確認の上、推奨される対策の適用をご検討ください。
Check Point Software Technologies
Preventative Hotfix for CVE-2024-24919 - Quantum Gateway Information Disclosure
https://support.checkpoint.com/results/sk/sk182336
IV. 追加対応
本脆弱性に対して、Check Point Software Technologiesは次の対応の実施も推奨しています。詳細な対応方法については、同社のアドバイザリの最新の情報をご確認の上、推奨される対応の実施をご検討ください。
- (1)LDAPアカウントユニットが設定されているか確認する。
- 設定されている場合はアカウントのパスワードを変更する
- (2)ローカルアカウントを使用しているか確認する。
- パスワード認証のみを使用するローカルアカウントが存在する場合、Hotfixをインストールし、ローカルアカウントがパスワード認証でVPNに接続できないようにする
V. 調査方法
Check Point Software Technologiesは、同脆弱性に関するFAQページを公開しています。不審なログイン試行がないか調査するための方法として、パスワード認証のみを使用するローカルアカウントによる過去3カ月の接続ログを確認する方法などが紹介されています。同社が提供する最新の情報をご確認の上、不審なログイン試行が行われていないかご確認いただくことを推奨します。
Check Point Software Technologies
FAQ for CVE-2024-24919 - Quantum Security Gateway Information Disclosure
https://support.checkpoint.com/results/sk/sk182337
VI. 参考情報
Check Point Software Technologies
Check Point Advisories Check Point VPN Information Disclosure (CVE-2024-24919)
https://advisories.checkpoint.com/defense/advisories/public/2024/cpai-2024-0353.html
mnemonic
Advisory: Check Point Remote Access VPN vulnerability (CVE-2024-24919)
https://www.mnemonic.io/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/
** 更新: 2024年7月23日 *******************************************
Check Point Software Technologies
Preventative Hotfix for CVE-2024-24919 - Quantum Gateway Information Disclosure
https://support.checkpoint.com/results/sk/sk182336
Preventative Hotfix for CVE-2024-24919 - Quantum Spark Gateways
https://support.checkpoint.com/results/sk/sk182357
JVN
JVNVU#98330908 Check Point Software Technologies製品における情報漏えいの脆弱性製品における情報漏えいの脆弱性
https://jvn.jp/vu/JVNVU98330908/
** 更新終了 ******************************************************
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2024-05-30 初版
2024-07-23 「I.概要」「II.対象」「VI.参考情報」の追記と更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp