cve-2024-24919 - RunkIntel

# CVE-2024-24919 > [!high] Divulgação de Informações no Check Point VPN - Explorado pelo Fox Kitten (APT iraniano) > Traversal de caminho não autenticado no Check Point Security Gateway permite que atacantes leiam arquivos arbitrários do sistema, incluindo `/etc/shadow` com hashes de senha. Explorada massivamente pelo grupo iraniano **Fox Kitten** (APT34/Pioneer Kitten) para comprometer VPNs corporativas e obter acesso inicial a redes de alto valor. ## Visão Geral [[cve-2024-24919|CVE-2024-24919]] é uma vulnerabilidade de divulgação de informações no Check Point Security Gateway que permite a qualquer atacante remoto sem autenticação ler arquivos arbitrários do servidor VPN, incluindo o arquivo `/etc/shadow` contendo hashes de senha e arquivos de configuração com credenciais. A exploração é simples e foi imediatamente incorporada em ferramentas automatizadas após a divulgação. O grupo [[g0117-fox-kitten|Fox Kitten]] (também rastreado como Pioneer Kitten e UNC757), um APT vinculado ao Irã com foco em acesso inicial e venda de acesso a outros grupos de ransomware, foi identificado explorando esta CVE em larga escala logo após sua divulgação. O MO do Fox Kitten inclui comprometer VPNs corporativas e vender o acesso para outros grupos - tornando-os um "initial access broker" que facilita operações de ransomware e espionagem de terceiros. O Check Point é amplamente utilizado como solução de VPN e firewall em organizações brasileiras de médio e grande porte, especialmente em setores financeiro e de telecomúnicações. A facilidade de exploração desta CVE - não requer autenticação e pode ser feita com um simples curl - resultou em exploração em massa nas semanas seguintes à divulgação. > [!latam] Relevância LATAM > Organizações brasileiras com Check Point Security Gateway ou CloudGuard Network devem verificar urgentemente se o hotfix de maio 2024 foi aplicado. O Fox Kitten é conhecido por vender acesso obtido via VPNs comprometidas para grupos de ransomware, que podem ter alvos brasileiros na lista. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path Traversal / Information Disclosure (CWE-22/CWE-200) | | Componente | Check Point Security Gateway - endpoint de VPN | | Pré-requisito | Nenhum - não autenticado | | Impacto | Leitura de `/etc/shadow`, arquivos de config com credenciais | | Exploração | Massiva - ferramentas públicas disponíveis dias após disclosure | ## Attack Flow ```mermaid graph TB A["🌐 Check Point VPN Exposto na internet"] --> B["⚡ CVE-2024-24919 Traversal não autenticado"] B --> C["📄 /etc/shadow Hashes de senha extraídos"] C --> D["🔓 Quebra de hashes Credenciais VPN obtidas"] D --> E["🔑 Acesso VPN legítimo Fox Kitten / Ransomware"] E --> F["💰 Acesso vendido Initial access broker"] ``` ## TTPs Associadas - [[t1190-exploit-public-facing-application|T1190]] - Exploração do Check Point VPN exposto - [[t1552-001-credentials-in-files|T1552.001]] - Credenciais extraídas de `/etc/shadow` e configs - [[t1133-external-remote-services|T1133]] - Uso da VPN comprometida como acesso remoto legítimo - [[t1587-001-malware|T1587.001]] - Fox Kitten como initial access broker para ransomware ## Detecção e Defesa **Mitigação crítica:** Aplicar Check Point Hotfix para CVE-2024-24919 imediatamente. **Indicadores de comprometimento:** - Requisições HTTP com path traversal (`../`) nos logs do Security Gateway - Tentativas de acesso a `/etc/shadow` ou arquivos de configuração via API - Logins VPN bem-sucedidos de IPs inesperados após o período de exposição **Mitigações adicionais:** - [[m1026-privileged-account-management|M1026]] - Rotacionar credenciais VPN como precaução pós-patch - [[m1032-multi-factor-authentication|M1032]] - MFA para VPN Check Point (protege mesmo com credenciais vazadas) - [[m1051-update-software|M1051]] - Hotfix Check Point urgente ## Referências - [Check Point Security Advisory](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk182332) - [WatchTowr Labs - CVE-2024-24919 analysis](https://labs.watchtowr.com) - [CISA - Check Point exploitation alert](https://www.cisa.gov/news-events/cybersecurity-advisories)