Pesquisador brasileiro descobre vulnerabilidade Zero-Day crítica em servidor de um imporante banco brasileiro

Everton Silva, um dos leitores do CISO Advisor e pesquisador de cibersegurança, identificou em maio de 2024 um servidor vulnerável à CVE-2024-24919, localizado em um subdomínio de um banco brasileiro. Após confirmar a vulnerabilidade, ele notificou o banco, que prontamente corrigiu o problema. Silva compartilhou seu relatório pessoal sobre o incidente com esta publicação. O nome da instituição financeira não foi divulgado.

Aqui está o relato do pesquisador:

No dia 30 do mês passado, ao verificar o CVE Notify, um canal do Telegram que publica informações sobre CVEs recentemente divulgadas, notei a CVE-2024-24919. Este CVE chamou minha atenção por ter uma pontuação CVSS de 8,6 (Alta), embora outros pesquisadores de segurança considerem a vulnerabilidade crítica, afirmando que a CheckPoint teria reduzido a gravidade para minimizar preocupações.

Segundo CheckPoint, Tenable, Qualys e NIST, “esta vulnerabilidade, conhecida como Path Traversal, permite que um invasor não autenticado leia o conteúdo de arquivos arbitrários em dispositivos afetados, como CloudGuard Network, Quantum Security Gateways, Quantum Maestro e outros. Explorar essa vulnerabilidade pode resultar no acesso a informações confidenciais no Security Gateway e, em alguns casos, permitir que o invasor se mova lateralmente e obtenha privilégios de administrador de domínio.”

Após a publicação deste CVE, encontrei rapidamente sua PoC (proof of concept ou prova de conceito). Sempre curioso, acessei o FOFA e outros buscadores para identificar endereços desatualizados relacionados a essa CVE. Entre as respostas, encontrei um subdomínio de um banco brasileiro (não utilizei ferramentas automatizadas para descobrir esse subdomínio). Usando a PoC na ferramenta Burp Suite, confirmei que o endereço estava desprotegido, permitindo acesso ao diretório [/]etc[/]shadow:

Para lembrar:

• [/etc/passwd]: Armazena informações básicas sobre contas de usuários no sistema, como nome de usuário, ID de usuário (UID), ID de grupo (GID), diretório pessoal e shell de login.

• [/etc/shadow]: Armazena hashes criptografados das senhas dos usuários, além de informações sobre a expiração e validade das contas.

Como a vulnerabilidade ainda era um Zero-Day, deixei o assunto de lado até que a CheckPoint agisse; após a empresa lançar um hotfix preventivo, resolvi notificar o banco. Antes disso, vi um post de um pesquisador no Twitter/X explicando como aumentar o impacto dessa vulnerabilidade, mencionando a possibilidade de obter uma chave SSH privada e outros caminhos para mais informações. Testei as indicações e, embora alguns caminhos funcionassem ([/]etc[/]shadow e [/]etc[/]passwd), não consegui obter a chave SSH privada.

Outros caminhos testados e funcionais:

• ../../../../../../../etc/fstab

• ../../../../../../../config/db/initial

• ../../../../../../../etc/group

• ../../../../../../../etc/hosts

• ../../../../../../../sysimg/CPwrapper/SU/Products.conf

Alguns desses caminhos não pareciam importantes; suspendi os testes para não comprometer o sistema e enviei as informações ao Red Team do banco, que corrigiu a vulnerabilidade em aproximadamente três dias.

Informei o banco por ética e responsabilidade, sem negociar qualquer recompensa. Em relação ao NDA (non-disclosure agreement), negociei a publicação deste relatório sob a condição de não revelar o nome da organização, e fui compreendido. Descobri também que o banco está desenvolvendo um programa de Bug Bounty, mas cheguei cedo demais.

Esta CVE é relativamente simples de explorar e considero este caso como mais um aprendizado. Agradeço ao banco por priorizar a correção da vulnerabilidade e mitigar o risco para proteger seus usuários antes que cibercriminosos se aproveitassem da situação.

Para uma compreensão mais profunda sobre este CVE, recomendo esta excelente referência, que utiliza IDA e Diaphora para a análise:

https://labs.watchtowr.com/check-point-wrong-check-point-cve-2024-24919

O CVE-2024-24919 é um bug de path traversal que permite a um invasor remoto acessar todos os arquivos no sistema operacional em modo especialista, em um dispositivo Check Point afetado. O bug é ativado quando a aba Mobile Access está ativa.

Everton Silva é um pesquisador de segurança independente brasileiro, conhecido como Hydd3n no mundo online. Ele já identificou e reportou falhas de segurança para empresas como Microsoft, Apple, IBM, NVIDIA, Red Hat e Samsung, entre outras.

Via - Ciso Advisor