Yazılım & İşletim SistemiOrta

CISA, ABD Federal Kurumlarına Check Point VPN Açığının 3 Gün İçinde Yamanmasını Emretti

CISA, ABD federal kurumlarını Check Point Remote Access VPN ve Mobile Access zafiyetini acilen yamalamaya zorladı. Qilin fidye yazılımı grupları tarafından sıfır-gün saldırılarında istismar edilen bu kritik güvenlik açığı, acil müdahale gerektiriyor.

B
Bleeping Computer Tutorials
0 görüntülenme
CISA, ABD Federal Kurumlarına Check Point VPN Açığının 3 Gün İçinde Yamanmasını Emretti

Sorun Tanımı

CVE-2024-24919 olarak tanımlanan bu güvenlik açığı, Check Point Remote Access VPN ve Mobile Access çözümlerinde yer alan kritik bir yetki yükseltme (privilege escalation) ve bilgi sızdırma (information disclosure) sorunudur. Sıfır-gün saldırılarında Qilin fidye yazılımı grubu tarafından aktif olarak istismar edildiği tespit edilmiştir. Saldırganlar, bu zafiyeti kullanarak kurumsal ağlara yetkisiz erişim sağlayabilmekte ve hassas verileri ele geçirebilmektedir.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal kurumlara bu zafiyeti en geç 3 iş günü içinde kapatmalarını emretmiştir. Emrin gerekçesi, saldırıların giderek yaygınlaşması ve kurumların ciddi veri kayıplarına uğrama riskidir. Check Point tarafından yayınlanan güvenlik bültenine göre, zafiyet Check Point Security Gateway ürünlerinin R80.20.x ve R81.x sürümlerini etkilemektedir.

Etkilenen Sistemler ve Sürümler

Aşağıdaki Check Point VPN çözümleri ve sürümleri bu zafiyetten etkilenmektedir:

  • Check Point Remote Access VPN (R80.20.x, R81.x)
  • Check Point Mobile Access (R80.20.x, R81.x)
  • Check Point Security Gateway (R80.20.x, R81.x)

Not: R80.40 ve daha yeni sürümler bu zafiyetten etkilenmemektedir. Kurumların, sistemlerinin hangi sürümde olduğunu aşağıdaki komutla kontrol etmeleri önerilir:

cpstat -f version all

Çözüm Adımları

Adım 1: Mevcut Sürümün Kontrolü

  1. SSH veya konsol üzerinden Check Point cihazına bağlanın.
  2. Aşağıdaki komutu çalıştırarak sistem sürümünü doğrulayın: 
    cpstat -f version all
  3. Çıktıda product_version alanına bakın. Eğer sürüm R80.20.x veya R81.x ise, aşağıdaki adımları uygulayın.

Adım 2: Yama Uygulama

Check Point, bu zafiyeti R80.40.250 ve daha yeni sürümlerde düzeltmiştir. Aşağıdaki işlemler, sisteminizi en son stabil sürüme yükseltmeyi içermektedir:

  1. Yedekleme İşlemi:
    • Sistem yapılandırmasının yedeğini alın: 
      backup
    • Veritabanı yedeğini oluşturun: 
      migrate export
    • Disk yedeğini alın (fiziksel cihazlar için): 
      save configuration
  2. Güncelleme Hazırlığı:
    • Check Point'in resmi indirme sayfasından R80.40.250 veya daha yeni bir sürümü indirin: 
      https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk176772
    • İndirilen ISO dosyasını /var/log dizinine kopyalayın.
  3. Sistem Güncellemesi:
    • ISO dosyasını bağlayın ve güncellemeyi başlatın: 
      mount -o loop /var/log/Check_Point_R80.40.250.iso /mnt/cpupdate
      cd /mnt/cpupdate
      ./install
    • Güncelleme sırasında ekrandaki talimatları izleyin. Sistem yeniden başlatılacaktır.
  4. Doğrulama:
    • Sistemin yeniden başlatılmasının ardından aşağıdaki komutla güncellemenin başarıyla uygulandığını doğrulayın: 
      cpstat -f version all
    • Çıktıda product_version alanının R80.40.250 veya daha yeni bir sürüm olduğunu doğrulayın.

Adım 3: Alternatif Yama Yöntemi (Sürüm Yükseltme Zorluğu Durumunda)

Eğer sisteminizi doğrudan R80.40'a yükseltmek mümkün değilse, Check Point'in yayınladığı acil yamayı (hotfix) uygulayabilirsiniz. Bu yöntem, geçici bir çözüm olup en kısa sürede tam bir yükseltme yapılması önerilir.

  1. Yamayı İndirme: 
    https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk176772
  2. Yamanın Uygulanması: 
    cd /tmp
    wget https://downloads.checkpoint.com/fileserver/SOURCE/direct/ID/XXXXX/FILENAME.tgz
    tar -xzvf FILENAME.tgz
    cd FILENAME
    ./install
  3. Sistemin Yeniden Başlatılması: 
    reboot
  4. Doğrulama: 
    fw ver

Güvenlik Önlemleri ve İpuçları

⚠️ Önemli Uyarı: Bu zafiyetin istismar edildiğine dair kanıtlar bulunmaktadır. Acilen yamalama işlemine başlamadan önce aşağıdaki geçici önlemleri uygulayın:

  • VPN bağlantılarını kapatın ve sadece gerekli olan IP adreslerine erişime izin verin.
  • Sistemlerinizi izlemek için Check Point'in SmartEvent veya SmartLog araçlarını kullanın.
  • VPN sunucularına gelen bağlantıları fail2ban gibi araçlarla izleyin ve şüpheli IP'leri engelleyin.
  • Çok faktörlü kimlik doğrulama (MFA) kullanımını zorunlu hale getirin.

Sorun Giderme

Sık Karşılaşılan Hatalar ve Çözümleri

1. Güncelleme İşlemi Başarısız Olursa

  1. Sistem yedeğinizi kullanarak eski durumuna geri dönün: 
    restore backup
  2. Sorunun kaynağını belirlemek için güncelleme loglarını inceleyin: 
    cat /var/log/upgrade.log
  3. Check Point destek ekibiyle iletişime geçin ve log dosyalarını paylaşın.

2. VPN Hizmetleri Çalışmıyor

  1. VPN servislerini yeniden başlatın: 
    vpn restartall
  2. Sistem loglarını kontrol edin: 
    fw log -t
  3. Gerekirse Check Point'in cpstop ve cpstart komutlarını kullanarak tüm servisleri yeniden başlatın.

Kaynaklar ve Referanslar

İlgili Makaleler