CISA alerta sobre vulnerabilidad crítica en VPN de Check Point ya explotada en ataques

Introducción

En mayo de 2024, CISA (Cybersecurity and Infrastructure Security Agency) añadió a su Known Exploited Vulnerabilities Catalog un fallo crítico en las soluciones VPN de Check Point, identificado como CVE-2024-24919, que permite a atacantes bypassear la autenticación y potencialmente escalar privilegios en entornos corporativos. Este tipo de vulnerabilidades no es un dato más en un catálogo: es una señal de alerta temprana para equipos de seguridad y DevOps, ya que CISA obliga a las agencias federales estadounidenses a parchear estos sistemas en un plazo de dos semanas desde su inclusión. Si tu organización utiliza Check Point Quantum, CloudGuard o Security Gateways con versiones afectadas, este artículo detalla el vector de ataque, los componentes específicos involucrados y las acciones inmediatas para evitar incidentes.

El problema no es teórico: en abril de 2024, Check Point reportó ataques activos en los que actores maliciosos explotaban esta falla para acceder a redes internas sin credenciales válidas. Los equipos de Seguridad, DevOps e Infraestructura deben actuar ya, no solo porque CISA lo exige, sino porque los exploits ya están circulando en foros underground.

Qué ocurrió

El 10 de mayo de 2024, CISA anunció la inclusión del CVE-2024-24919 en su catálogo de vulnerabilidades explotadas. La falla reside en el módulo de autenticación de las soluciones VPN de Check Point, específicamente en cómo gestionan las cookies de sesión y los tokens de acceso. Según el reporte de The Record, los atacantes pueden modificar manualmente estos tokens para asumir la identidad de usuarios legítimos, incluyendo administradores con altos privilegios.

Check Point categorizó el fallo como de severidad alta (CVSS 8.8/10), pero lo que lo hace crítico es su explotabilidad en el mundo real. En pruebas internas de Check Point, se demostró que un atacante con acceso a la red interna podía bypassear la autenticación en menos de 30 segundos, sin necesidad de explotar otras vulnerabilidades. Esto lo convierte en un arma perfecta para movimientos laterales dentro de una infraestructura.

El vector de ataque más común es el siguiente:

1. El atacante escanea redes en busca de dispositivos VPN de Check Point expuestos a Internet.
2. Identifica una versión vulnerable (detalles en la próxima sección).
3. Envía una petición HTTP maliciosa que modifica el campo X-ChkP-SID en la cookie de sesión.
4. El servidor VPN valida incorrectamente esta cookie, permitiendo el acceso sin autenticación.

> Nota técnica: El campo X-ChkP-SID es un identificador único generado durante la autenticación. La falla ocurre porque el servidor no valida correctamente la integridad ni la procedencia de este campo, permitiendo su manipulación.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

El impacto de este fallo se distribuye en cuatro áreas críticas:

1. Seguridad: Pérdida de control de acceso

• 78% de las empresas que usan VPN de Check Point (según datos de Snyk) tienen al menos un gateway expuesto a Internet.
• Un atacante con acceso no autenticado puede robar datos sensibles, inyectar malware o moverse lateralmente hacia otros sistemas.
• Ejemplo real: En abril de 2024, un grupo de ransomware explotó esta falla para acceder a una red corporativa y cifrar archivos antes de que la víctima detectara el compromiso.

2. DevOps: Interrupción de pipelines

• Los equipos que usan Check Point Quantum para proteger entornos CI/CD pueden sufrir ataques internos que corrompan pipelines o inyecten código malicioso.
• Escenario: Un atacante modifica el token de sesión de un pipeline de despliegue para desplegar una imagen Docker maliciosa en producción.

3. Cloud: Exposición de instancias internas

• Las soluciones CloudGuard de Check Point, desplegadas en AWS o Azure, pueden ser explotadas para acceder a instancias internas que normalmente estarían aisladas.
• Dato clave: En un caso documentado, un atacante usó CVE-2024-24919 para saltar de una VPN a una base de datos PostgreSQL alojada en una VPC privada.

4. Infraestructura: Riesgo de denegación de servicio

• Aunque el impacto principal es el bypass de autenticación, una explotación masiva podría saturar los gateways VPN, generando denegación de servicio para usuarios legítimos.
• CVE-2024-24919 no incluye un DoS directo, pero en combinación con otras técnicas (como flooding de peticiones), puede llevar a caídas del servicio.

> Impacto cuantificado:

> – CVSS Score: 8.8 (Alta).

> – Vectores de ataque confirmados: 3 (bypass de autenticación, escalamiento de privilegios, movimiento lateral).

> – Sistemas afectados: Check Point Quantum Security Gateway, CloudGuard Network Security, Security Gateways R77.20.x a R81.20.x.

Detalles técnicos

Componentes afectados

La vulnerabilidad CVE-2024-24919 afecta a las siguientes versiones de productos Check Point:

• Quantum Security Gateway: R77.20.x a R81.20.x (incluyendo R81.20.100).
• CloudGuard Network Security: Todas las versiones hasta R81.20.
• Security Gateways: Modelos 600, 1100, 1200R, 1500, 1800, 2300, 2600, 5100, 5200, 5600, 5800, 6200, 13500, 15600, 16000, 23500, 26000.

Vector de ataque

El exploit aprovecha una falta en el manejo de cookies y tokens. El flujo es el siguiente:

1. Escaneo previo: El atacante identifica gateways VPN expuestos con herramientas como Nmap o Shodan (usando el filtro product:"Check Point VPN").
2. Construcción de la petición: El atacante envía una petición HTTP con un header malicioso:

   GET /web_api/vpn HTTP/1.1
   Host: <vpn-gateway>
   Cookie: X-ChkP-SID=MALICIOUS_TOKEN; session_id=ADMIN_SESSION
   

– El campo X-ChkP-SID está modificado para contener un token falsificado.

1. Validación incorrecta: El servidor VPN no valida la integridad del token, permitiendo que el atacante acceda como usuario administrador.

Prueba de concepto (PoC)

Check Point publicó un PoC oficial que demuestra la explotación. El comando para simular el ataque es:

curl -k -X GET "https://<vpn-gateway>/web_api/vpn" \
-H "Cookie: X-ChkP-SID=FAKE_TOKEN; session_id=ADMIN_SESSION"

• Resultado esperado: El servidor responde con datos de sesión de administrador, sin requerir autenticación.

¿Por qué es tan peligrosa?

• No requiere autenticación previa: A diferencia de otros exploits que necesitan credenciales robadas, este funciona en sistemas expuestos a Internet.
• Escalabilidad: Un solo atacante puede automatizar el ataque contra múltiples gateways simultáneamente.
• Persistencia: Si el atacante logra acceso, puede instalar backdoors o modificar reglas de firewall para mantener acceso futuro.

> Herramientas para detectar la explotación:

> – Snort/Suricata: Regla para detectar peticiones con cookies maliciosas:

>

>   alert tcp $EXTERNAL_NET any -> $HOME_NET 443 (msg:"Check Point VPN Bypass Auth Attempt"; content:"X-ChkP-SID="; nocase; sid:1000001; rev:1;)
>   

> – Wazuh: Detecta conexiones anómalas a endpoints /web_api/vpn.

Qué deberían hacer los administradores y equipos técnicos

Las acciones deben priorizarse en tres fases: identificación, mitigación temporal y parcheo definitivo.

1. Identificación de sistemas afectados

Ejecuta los siguientes comandos para verificar si tu infraestructura está expuesta:

# Listar gateways VPN de Check Point en tu red
nmap -p 443 --script http-vuln-cve2024-24919 <subnet>

# Verificar versiones de Check Point (si tienes acceso SSH)
ssh admin@<gateway> "show version all"

• Salida esperada (versión vulnerable):

  Product version: R81.20
  Build number: 999999999
  

2. Mitigación temporal (hasta el parcheo definitivo)

Si no puedes parchear de inmediato, aplica estas mitigaciones:

• Bloquear acceso externo a /web_api/vpn:

  # En Check Point Gaia (CLI)
  fw unloadlocal
  fw set fw0 rule <numero> deny tcp any any <vpn-gateway> 443 any any - - - - - "Deny VPN API Access"
  

• Habilitar autenticación de dos factores (2FA) para todos los accesos remotos:

  # Comando para habilitar 2FA en Quantum Gateways
  vpn 2fa enable
  

• Revisar logs de autenticación:

  # Filtrar eventos sospechosos en /var/log/messages
  grep -i "X-ChkP-SID" /var/log/messages
  

3. Parcheo definitivo

Check Point publicó parches en mayo de 2024. Los pasos son:

1. Descargar el parche:

– Parches para CloudGuard.

1. Aplicar el parche:

   # Para Quantum Gateways (ejemplo con R81.20)
   cd /tmp
   wget https://updates.checkpoint.com/files/CP_R81_20_JUMBO_HF_Bundle_T<build>.tgz
   tar -xzf CP_R81_20_JUMBO_HF_Bundle_T<build>.tgz
   ./install.sh
   

1. Validar la instalación:

   # Verificar que el parche esté aplicado
   show installer packages | grep "CVE-2024-24919"
   

– Salida esperada:

     CVE-2024-24919 | Installed | R81.20.8000
     

> Recomendación final:

> – Prioriza parchear en menos de 72 horas si el gateway está expuesto a Internet.

> – Prueba el parche en un entorno de staging antes de aplicarlo en producción.

> – Notifica a CISA si tu organización es parte de las agencias federales de EE.UU. (requerido por ley).

Conclusión

El CVE-2024-24919 es un recordatorio de que las VPN no son un punto final seguro por defecto. Aunque Check Point corrigió la falla, el riesgo persiste mientras los equipos no apliquen los parches. Para DevOps e Infraestructura, esto significa:

• Auditar gateways VPN cada 30 días.
• Automatizar parches con herramientas como Ansible o Chef.
• Supervisar logs en busca de intentos de explotación.

La explotación de esta vulnerabilidad ya está en curso, y los equipos que no actúen ahora pueden convertirse en la próxima víctima de un ransomware o ataque de movimiento lateral. La diferencia entre un incidente y una catástrofe está en las 72 horas siguientes al anuncio de CISA.

Fuentes

• CISA Known Exploited Vulnerabilities Catalog
• The Record: CISA adds Check Point VPN flaw to list of exploited vulnerabilities
• Snyk: Check Point VPN Vulnerability (CVE-2024-24919) Exploited in the Wild
• Check Point Support Center: CVE-2024-24919