264 - Pentesting Check Point FireWall-1

É possível interagir com firewalls CheckPoint Firewall-1 para descobrir informações valiosas, como o nome do firewall e o nome da estação de gerenciamento. Isso pode ser feito enviando uma consulta para a porta 264/TCP.

Obtendo Nomes de Firewall e Estação de Gerenciamento

Usando uma solicitação de pré-autenticação, você pode executar um módulo que visa o CheckPoint Firewall-1. Os comandos necessários para esta operação estão descritos abaixo:

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.10.10

Ao ser executado, o módulo tenta contatar o serviço de Topologia SecuRemote do firewall. Se bem-sucedido, confirma a presença de um CheckPoint Firewall e recupera os nomes do firewall e do host de gerenciamento SmartCenter. Aqui está um exemplo de como a saída pode parecer:

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Método Alternativo para Descoberta de Nome de Host e Nome ICA

Outra técnica envolve um comando direto que envia uma consulta específica para o firewall e analisa a resposta para extrair o nome de host do firewall e o nome ICA. O comando e sua estrutura são os seguintes:

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 10.10.10.10 264 | grep -a CN | cut -c 2-

A saída deste comando fornece informações detalhadas sobre o nome do certificado do firewall (CN) e a organização (O), conforme demonstrado abaixo:

CN=Panama,O=MGMTT.srv.rxfrmi

Referências

• https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk69360

• https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html#check-point-firewall-1-topology-port-264