NCSC ønsker å komme med en oppdatering til gårsdagens varsel [1] om aktiv utnyttelse av sårbarhet i CheckPoint: CVE-2024-24919. NCSC er kjent med utnyttelsesforsøk og vellykket utnyttelse av sårbarheten i Norge.

Siden varselet ble sendt har det kommet flere gode ressurser om hvordan sårbarheten fungerer [2], samt anbefalinger på hvordan man mitigerer sårbarheten og gjør undersøkelser for å avkrefte kompromittering [3]:

    * Oppdater berørte enheter til sikker versjon

    * Fjern lokale brukere fra enheten

    * Roter passord/kontoer for LDAP-tilkoblinger fra enheten til AD

    * Undersøk logger for å avkrefte kompromittering [4]

    * Oppdater Check Point IPS-signaturer hvis mulig

NCSC viser til ovennevnte ressurser og informasjon fra Check Point [4] og mnemonic [3] for videre oppfølging av sårbarheten, tiltak og undersøkelser for å avkrefte kompromittering. I tillegg har begge opplyst at de er kjent med forsøk på utnyttelse tilbake til 30. april. Søk bør derfor utføres minimum tilbake til denne datoen.

Dersom man gjør funn av mulige kompromitteringer anbefaler NCSC at man tar kontakt med sitt sektorvise responsmiljø eller MSSP [5] for bistand.

Referanser:

[1] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/checkpoint-quantum-security-gateway-sarbarhet-utnyttes-aktivt

[2] https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919/

[3] https://www.mnemonic.io/no/resources/blog/advisory-check-point-remote-access-vpn-vulnerability-cve-2024-24919/

[4] https://support.checkpoint.com/results/sk/sk182337

[5] https://nsm.no/kvalitetsordning