Pengantar

Apa mimpi buruk terbesar bagi seorang Network Engineer? Jawabannya adalah ketika perangkat keamanan (Firewall/VPN) yang seharusnya melindungi jaringan, justru menjadi pintu masuk bagi peretas.

Itulah yang terjadi pada kasus CVE-2024-24919. Kerentanan ini ditemukan pada perangkat Check Point, salah satu vendor keamanan jaringan terbesar di dunia. Celah ini dikategorikan sebagai Critical karena memungkinkan penyerang mencuri data sensitif tanpa perlu login sama sekali.

Dalam artikel ini, kita akan membedah bagaimana celah ini bekerja, mengapa sangat berbahaya, dan apa yang wajib Anda lakukan jika kantor Anda menggunakan perangkat Check Point.

Apa itu CVE-2024-24919?

Secara sederhana, CVE-2024-24919 adalah sebuah kesalahan pemrograman (bug) pada fitur “Remote Access VPN” di perangkat Check Point Security Gateway.

baca juga : CVE-2025-66401 : Celah RCE Kritis! Analisis Mendalam dan Panduan Mitigasi 

Normalnya, untuk mengakses file atau data di dalam server gateway, seseorang harus memasukkan username dan password. Namun, karena adanya celah ini, penyerang bisa mengelabui sistem. Mereka mengirimkan permintaan khusus (request) melalui internet yang membuat server “lupa” menanyakan password, dan langsung memberikan file yang diminta oleh penyerang.

Produk yang Terdampak: Celah ini menyerang perangkat yang mengaktifkan fitur:

• IPSec VPN

• Mobile Access

Jika kantor Anda menggunakan Check Point Quantum Security Gateway, CloudGuard Network, atau Quantum Maestro dengan fitur VPN aktif, Anda berisiko tinggi terkena serangan ini.

Bahaya Nyata: Apa yang Bisa Dicuri Hacker?

Mungkin Anda berpikir, “Ah, paling cuma bisa lihat file log biasa.” Salah besar.

Bahaya utama dari CVE-2024-24919 adalah kemampuan Information Disclosure (Pengungkapan Informasi) yang sangat fatal. Penyerang menargetkan file-file sistem kritis, terutama:

1. File /etc/shadow: Di sistem operasi Linux (yang menjadi basis OS Check Point), file ini berisi daftar username dan hash password dari pengguna lokal.

2. Kredensial Active Directory (AD): Jika perangkat VPN terintegrasi dengan AD kantor, penyerang bisa menyedot data login pengguna domain.

Skenario Serangan (Kill Chain):

1. Eksploitasi: Hacker menggunakan CVE-2024-24919 untuk mencuri file /etc/shadow.

2. Cracking: Hacker melakukan cracking (menebak password) dari hash yang didapat secara offline.

3. Login Resmi: Setelah tahu password admin atau user, hacker login ke VPN secara “resmi”.

4. Penyusupan: Hacker masuk ke jaringan internal kantor seolah-olah mereka adalah karyawan, lalu menyebarkan ransomware atau mencuri data nasabah/klien.

Analisis Teknis & Ciri-Ciri Serangan (IOC)

Bagi rekan-rekan Blue Team atau SysAdmin, bagaimana cara tahu jika kita sedang diserang?

Teknik serangan ini sering disebut sebagai Path Traversal atau manipulasi file path. Penyerang memanipulasi permintaan POST ke web server gateway.

baca juga : CVE-2025-32463: Bahaya Akses Root Instan Melalui Celah Sudo

Indikator Kompromi (IOC): Cek log firewall atau web server Anda. Serangan ini biasanya meninggalkan jejak berupa permintaan HTTP yang tidak wajar ke path direktori yang mencurigakan, seringkali mencoba mengakses file sistem di direktori root.

Jika Anda melihat lonjakan trafik aneh pada port Web Management atau port SSL VPN dari IP publik yang tidak dikenal, segera waspada.

Langkah Mitigasi & Perbaikan (Wajib!)

Jika Anda mengelola perangkat yang terdampak, jangan menunda. Lakukan langkah berikut secara berurutan:

1. Pasang Hotfix (Patch)

Check Point sudah merilis perbaikan resmi. Segera unduh dan instal Hotfix yang sesuai dengan versi gateway Anda melalui portal Check Point Support (lihat Advisory SK179432).

2. Ganti Password (Sangat Kritis!)

Ini langkah yang sering dilupakan. Hanya melakukan patching saja TIDAK CUKUP. Kenapa? Karena bisa jadi hacker sudah mencuri password Anda sebelum Anda melakukan patching.

• Reset password akun Admin lokal.

• Reset password akun LDAP/Active Directory yang terhubung ke VPN.

3. Perkuat Autentikasi (MFA)

Password saja sudah tidak aman di tahun 2025. Wajibkan penggunaan MFA (Multi-Factor Authentication) untuk semua akses VPN. Jadi, meskipun hacker punya password curian, mereka tetap tidak bisa login tanpa kode OTP di HP karyawan.

baca juga : CVE-2025-6934: Celah Kritis yang Mengancam Keamanan WordPress

Kesimpulan

CVE-2024-24919 adalah celah serius yang memudahkan hacker mencuri “kunci rumah” Anda. Segera lakukan audit pada infrastruktur jaringan Anda hari ini. Mencegah jauh lebih murah daripada harus memulihkan data yang terkena Ransomware.

Bagikan informasi ini kepada tim IT Network di kantor Anda agar mereka bisa segera melakukan pengecekan!

Proof of Concept (PoC)