Everton Silva, um dos leitores do CISO Advisor e pesquisador de cibersegurança, localizou em Maio de 2024 um servidor vulnerável à CVE-2024-24919, num subdomínio de um banco brasileiro. Depois de confirmar a vulnerabilidade, o pesquisador informou o problema ao banco, que corrigiu o problema. Silva ofereceu seu relatório pessoal sobre o assunto para esta publicação. O nome da organização financeira não foi revelado. Este é o relato do pesquisador:
No dia 30 do mês passado eu estava dando uma olhada no CVE Notify, um canal do Telegram que publica informações sobre CVEs publicados recentemente, e um em especial me chamou a atenção, que é o CVE-2024-24919. Foi mencionado no registro que o CVSS desta vulnerabilidade tinha uma pontuação de 8,6 (Alta), mas vários outros pesquisadores de segurança disseram que esse é um grau crítico e que a CheckPoint teria alterado a gravidade para amenizar as preocupações das pessoas.
De acordo com a CheckPoint, Tenable, Qualys e NIST, “esta vulnerabilidade é conhecida como Path Traversal, a qual permite que um invasor não autenticado leia o conteúdo de um arquivo arbitrário localizado nos dispositivos afetados, como CloudGuard Network, Quantum Security Gateways, Quantum Maestro e outros; explorar esta vulnerabilidade pode resultar no acesso a informações confidenciais no Security Gateway. Em certos cenários, isso pode fazer com que o invasor se mova lateralmente e ganhe privilégios de administrador de domínio.”
Após a publicação deste CVE, acabei encontrando sua PoC (proof of concept ou prova de conceito) pouco tempo depois. Como sempre tive curiosidade, resolvi acessar o FOFA e outros buscadores para verificar a existência de endereços desatualizados com relação a essa CVE. Entre as respostas estava um subdomínio de um banco brasileiro (não usei ferramentas automatizadas para descobrir esse subdomínio). Ao utilizar o PoC na ferramenta Burp Suite, realmente o endereço estava desprotegido, sendo possível acessar o diretório [/]etc[/]shadow:
Para relembrar:
[/]etc[/]passwd: Armazena informações básicas sobre contas de usuários no sistema, como nome de usuário, ID de usuário (UID), ID de grupo (GID), diretório pessoal e shell de login.
[/]etc[/]shadow: Armazena hashes criptografados das senhas dos usuários, além de informações sobre a expiração e validade das contas.Como naquele momento a vulnerabilidade ainda era um Zero-Day, deixei o assunto de lado, até que a CheckPoint entrasse em ação; após a empresa publicar um hotfix preventivo, resolvi entrar em contato com o banco para informar. Antes disso, eu tinha visto um post de um pesquisador no Twitter/X mostrando como se aumentava o impacto dessa vulnerabilidade: seria possível obter uma chave SSH privada, além de haver outro caminho para obter mais informações. Testei as duas indicações e apenas alguns caminhos funcionaram (além de [/]etc[/]shadow e [/]etc[/]passwd]), mas a chave SSH privada não pôde ser obtida.
Outros caminhos testados e funcionando:
../../../../../../../etc/fstab
../../../../../../../config/db/initial
../../../../../../../etc/group
../../../../../../../etc/hosts
../../../../../../../sysimg/CPwrapper/SU/Products.conf
Alguns desses caminhos não pareciam importantes; de qualquer forma suspendi os testes para não comprometer o sistema e enviei as informações para o Red Team do banco, que me respondeu prontamente, corrigindo a vulnerabilidade em aproximadamente três dias:
Informei por ética e responsabilidade, sem negociar qualquer recompensa. Em relação ao contrato NDA (non disclosure agreement) sobre o assunto, negociei com eles a publicação deste relatório nestas condições (sem revelar o nome da organização) e me entenderam perfeitamente. Também acabei descobrindo que o banco está desenvolvendo um programa de Bug Bounty. Entretanto, cheguei cedo demais.
Esta CVE em si é simples de explorar e considero este caso como inesperado e de mais um aprendizado. Agradeço ao banco por tratar a vulnerabilidade com prioridade e mitigar esse risco para proteger seus usuários, antes que cibercriminosos se aproveitem da situação.
Para entender profundamente sobre este CVE é possível consultar esta excelente referência, onde foram utilizados IDA e Diaphora para a análise:
https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919
O CVE-2024-24919 é um bug de path traversal (passagem de caminho) que permite a um invasor remoto acessar todos os arquivos no sistema operacional em modo especialista, em um dispositivo Check Point afetado. O bug é habilitado quando a aba Mobile Access está ativa.
* Everton Silva é brasileiro, pesquisador de segurança independente, já tendo localizado e reportado falhas de segurança para empresas como Microsoft, Apple, IBM, NVIDIA, Red Hat e Samsung, entre outras. Ele é conhecido como Hydd3n no mundo online.