Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Microsoft Patch Tuesday august 2024

For English, see below.

Samenvatting

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties en om systemen waarop eindgebruikers inloggen te prioriteren.

Beschrijving

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Onder de opgeloste kwetsbaarheden zijn 6 kwetsbaarheden waarvan bekend is dat deze uitgebuit worden. Deze zijn door het CISA toegevoegd aan de ‘Known Exploited Vulnerability’ (KEV) catalogus. Daarnaast zijn er 11 kwetsbaarheden waarvan verwacht wordt dat deze misbruikt kunnen worden.

Hieronder volgt het een overzicht van de 6 kwetsbaarheden waarvan misbruik is gedetecteerd:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Windows Mark of the Web Security Feature Bypass Vulnerability

De Microsoft Project kwetsbaarheid (CVE-2024-38189) raakt met name aan eindgebruikers van Microsoft Project en is afhankelijk van de specifieke macro-instellingen (zie ook de Microsoft FAQ). De impact van de Windows Mark of the Web kwetsbaarheid raakt aan de waarschuwing pop-up die weergegeven wordt bij bestanden die vanaf het internet gedownload zijn. De Windows Scripting kwetsbaarheid vereist dat een gebruiker een malafide website opent in Edge met Internet Explorer mode ingeschakeld. De overige kwetsbaarheden hebben de impact ‘Elevation of Privilege’ waarbij vanuit een gebruiker hogere (SYSTEM) rechten verkregen kunnen worden.

Naast de kwetsbaarheden waarbij misbruik is gedetecteerd, is de analyse van Microsoft dat 11 kwetsbaarheden een grotere kans hebben om in de toekomst misbruikt te worden. Dit zijn de volgende kwetsbaarheden:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

De Windows TCP/IP kwetsbaarheid (CVE-2024-38063) raakt aan de IPv6 stack van Windows en kan leiden tot Remote Code Execution.

Kwetsbare versies

De Microsoft Windows kwetsbaarheden waarvan misbruik bekend is raken aan onderstaande Windows versies. Voor specifieke informatie over de getroffen versies en architecturen verwijzen wij naar de informatie die Microsoft publiceert.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

De Microsoft Project kwetsbaarheid (CVE-2024-38189), die actief misbruikt, wordt raakt de volgende software:

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Oplossingen en tijdelijke mitigaties

Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Raadpleeg de informatie van Microsoft over de specifieke versies die de kwetsbaarheid verhelpen en eventuele (tijdelijk) mitigerende maatregelen.

Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties, zoals Microsoft Project en Edge, die niet altijd onderdeel zijn van de gebruikelijke update procedure. Aanvullend adviseert Pinewood om systemen waarop eindgebruikers (mogen) inloggen, zoals laptops en VDI-omgevingen, te prioriteren.

Meer informatie

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het Pinewood SOC servicedesk is bereikbaar via +31 15 750 1331 en via soc@pinewood.nl.

===== ENGLISH =====

Summary

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Pinewood advises taking desktop applications into account while fixing these vulnerabilities and prioritising systems on which end users log in.

Description

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Among the resolved vulnerabilities are 6 vulnerabilities known to be exploited. These have been added to the ‘Known Exploited Vulnerability’ (KEV) catalogue by CISA. In addition, there are 11 vulnerabilities that are expected to be abused.

The following is an overview of the 6 vulnerabilities where misuse has been detected:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability

The Microsoft Project vulnerability (CVE-2024-38189) affects Microsoft Project end-users and depends on the specific macro settings (see also the Microsoft FAQ). The impact of the Windows SmartScreen vulnerability is a ‘security feature bypass’ that affects the warning pop-up displayed for files downloaded from the Internet. The other vulnerabilities have the impact ‘Elevation of Privilege’ where higher (SYSTEM) privileges can be obtained from a user.

Besides the vulnerabilities where abuse has been detected, Microsoft’s analysis is that 11 vulnerabilities are more likely to be exploited in the future. These are the following vulnerabilities:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

The Windows TCP/IP vulnerability (CVE-2024-38063) affects Windows’ IPv6 stack and can lead to Remote Code Execution.

Vulnerable versions

The Microsoft Windows vulnerabilities known to be exploited affect the Windows versions listed below. For specific information on the affected versions and architectures, please refer to the information published by Microsoft.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

The Microsoft Project vulnerability (CVE-2024-38189), which is being actively exploited, affects the following software

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Solutions and workarounds

Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Refer to Microsoft’s information on the specific versions that fix the vulnerability and any (temporary) mitigating measures.

Pinewood advises to take into account desktop applications, such as Microsoft Project, which are not always part of the usual update procedure while fixing these vulnerabilities. Additionally, Pinewood recommends prioritising systems on which end users (may) log in, such as laptops and VDI environments.

More information

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Webinar: Effectief IT-Risicomanagement: hoe overleef je alle security frameworks en nieuwe regelgeving?

In dit webinar leggen we uit wat de waarde is van risicomanagement, welke veel gemaakte fouten daarbij worden gemaakt, hoe security frameworks als ISO27001 en nieuwe wetgeving als NIS2 en DORA je scherp houden maar ook oude wijn in nieuwe zakken is. We nemen je mee aan de hand van enkele praktijkvoorbeelden.

Dit komt aan bod in het webinar:

  • De vaak beperkte waarde van risico-assessments
  • Een andere benadering van risico-management: introductie van de 28 inherente IT-risico’s
  • Verschillende security frameworks en beheermaatregelen: veel van hetzelfde, wat is de rode draad?
  • Introductie van het IT Capability model: een metaframework dat ook door bestuurders nog wordt begrepen
  • Effectief rapporteren over risico’s: een security dashboard voor de werkvloer, CISO en bestuurders

Na afloop van het webinar heb je de handvatten, modellen en tools om nog gerichter en met een heldere verhaallijn het thema IT- en cyber security te agenderen in je organisatie. Het helpt je tevens je eigen security plan en prioriteiten op te stellen.

Voor wie?

Dit webinar is bedoeld voor:

  • Security Officers
  • CISO’s/TISO’s
  • IT management
  • Directie
  • Bestuurders en toezichthouders/commissarissen
  • IT-auditors / risk officers

Wanneer?

3 oktober om 10:00uur en om 14:00uur. De duur van dit webinar bedraagt ongeveer 30 minuten.

Je kunt zelf kiezen welke sessie voor jou het beste uitkomt.

Schrijf je hieronder in om deel te nemen aan dit webinar:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Pinewood Security Bulletin – Cisco Secure Email Gateway: Remote Code Execution due to Arbitrary File Write Vulnerability

For English, see below.

Beschrijving

Op 17 juli 2024 heeft Cisco bekend gemaakt dat er een kritieke kwetsbaarheid in Cisco Secure Email Gateway is ontdekt. De kwetsbaarheid, bekend als CVE-2024-20401, stelt een niet-geauthenticeerde aanvaller in staat om vanaf het internet willekeurige bestanden op het onderliggende besturingssysteem te overschrijven. Dit is mogelijk door de onjuiste verwerking van e-mailbijlagen wanneer file analysis of content filter zijn ingeschakeld. De aanvaller heeft vervolgens volledige controle over het systeem en kan daarmee bijvoorbeeld gebruikers met rootrechten toevoegen, de configuratie wijzigen en willekeurige code uitvoeren.

Op dit moment is er nog geen proof-of-concept code of exploit beschikbaar en lijkt de kwetsbaarheid niet actief misbruikt te worden. Daar kan op korte termijn echter verandering in komen.

Kwetsbare versies

Een Cisco Secure Email Gateway systeem is kwetsbaar als aan de volgende twee voorwaarden is voldaan:

  • De versie van Content Scanner Tools is vóór 23.3.0.4823.
  • Óf de File Analysis feature van Cisco Advanced Malware Protection (AMP) óf de Content Filter feature is ingeschakeld en toegewezen aan een inkomende mail policy.

Om vast te stellen of uw versie van Content Scanner Tools kwetsbaar is, kan het contentscannerstatus commando in de CLI van het Cisco-systeem worden gebruikt. Zie hieronder een voorbeeld van een kwetsbare versie van Content Scanner Tools:

cisco-esa> contentscannerstatus

Component              Version                  Last Updated

Content Scanner Tools  23.1.0.4619.13.0.1500022 Never updated

U kunt controleren of File Analysis ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Advanced Malware Protection te gaan in de management interface. Bekijk voor elke mail policy of Enable File Analysis aangevinkt is. Als dit het geval is, staat de feature ingeschakeld.

U kunt controleren of Content Filter ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Content Filters te gaan in de management interface. Als de Content Filters kolom iets anders dan ‘disabled’ bevat, staat de feature ingeschakeld.

Oplossingen en tijdelijke mitigaties

Er is geen tijdelijke oplossing die deze kwetsbaarheid adresseert.

Om de kwetsbaarheid te verhelpen kan het gehele systeem naar Cisco AsyncOS versie 15.5.1-055 of later geüpdatet worden.

Daarnaast is het ook mogelijk om Content Scanner Tools los te updaten, zodat niet het gehele systeem geüpgraded en gereboot hoeft te worden. Dit kan handmatig via de CLI van het systeem met het contentscannerupdate commando:

cisco-esa> contentscannerupdate

Requesting check for new Content Scanner updates.

Als Content Scanner Tools niet automatisch al geüpdatet was, adviseren we daarnaast te overwegen om van de Automatic Update feature gebruik te maken. Dit kan onder Security Services > Service Updates > Edit Update Settings door het vinkje bij Automatic Updates aan te zetten.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

On July 17, 2024 Cisco announced the discovery of a critical vulnerability in Cisco Secure Email Gateway. The vulnerability, known as CVE-2024-20401, allows an unauthenticated remote attacker to overwrite arbitrary files on the underlying operating system. This is possible due to the improper processing of e-mail attachments when File Analysis or Content Filter are enabled. The attacker then has full control over the system and can, for example, add users with root privileges, change the configuration and execute arbitrary code.

Currently, there is no proof-of-concept code or exploit available and the vulnerability does not appear to be actively exploited.

Vulnerable versions

A Cisco Secure Email Gateway system is vulnerable if the following two conditions are met:

  • The version of Content Scanner Tools is before 23.3.0.4823.
  • Either the File Analysis feature of Cisco Advanced Malware Protection (AMP) or the Content Filter feature is enabled and assigned to an incoming mail policy.

To determine if your version of Content Scanner Tools is vulnerable, the contentscannerstatus command in the Cisco system CLI can be used. See below for an example of a vulnerable version of Content Scanner Tools:

cisco-esa> contentscannerstatus

Component              Version                  Last Updated

Content Scanner Tools  23.1.0.4619.13.0.1500022 Never updated

You can verify that File Analysis is enabled by going to Mail Policies > Incoming Mail Policies > Advanced Malware Protection in the management interface. For each mail policy, see if Enable File Analysis is checked. If it is, the feature is enabled.

You can verify that Content Filter is enabled by going to Mail Policies > Incoming Mail Policies > Content Filters in the management interface. If the Content Filters column contains anything other than disabled, the feature is enabled.

Solutions and workarounds

There is no temporary fix that addresses this vulnerability.

To fix the vulnerability, the entire system can be updated to Cisco AsyncOS version 15.5.1-055 and later.

In addition, it is also possible to update Content Scanner Tools separately so that the entire system does not have to be upgraded and rebooted. This can be done manually through the system’s CLI with the contentscannerupdate command:

cisco-esa> contentscannerupdate

Requesting check for new Content Scanner updates.

Additionally, if Content Scanner Tools was not already automatically updated, we recommend considering using the Automatic Update feature. This can be done under Security Services > Service Updates > Edit Update Settings by checking Automatic Updates.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Cyber Future Event 2024

Het Cyber Future Event vindt op 12 september plaats in deFabrique in Utrecht. Het dagvullende evenement over cybersecurity is dit jaar geheel gewijd aan de kansen en bedreigingen van onder andere kunstmatige intelligentie (AI) tot aan kwantumtechnologie. Meer dan 200 deelnemers van verantwoordelijken en/of besluitvormers op het gebied van cybersecurity – CISO’s, ISO’s, CIO’s, senior IT-management en architecten – komen samen en verkennen hoe zij samen kunnen werken aan een veiliger cyberlandschap.

Klik hier voor meer informatie over het evenement

Onze dagvoorzitter Irene Rompa kondigt in onderstaande video dit toonaangevende evenement aan:

 

Voor wie?

Ter gelegenheid van het 30-jarig bestaan van Pinewood bieden wij dit evenement kosteloos aan voor verantwoordelijken en/of besluitvormers op het gebied van cybersecurity, zoals CISO’s, ISO’s, CIO’s, senior IT-management en architecten. Dit geldt voor organisaties met meer dan 250 FTE of voor genodigden vanuit Pinewood en/of Interstellar. Na aanmelding op onze website ontvangt u binnen twee weken een officiële bevestiging.

Let op: bij no-show zonder afmelding zijn wij genoodzaakt om €145,- in rekening te brengen.

Schrijf je hieronder in om deel te nemen aan dit evenement:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Hackaton: Security Capture The Flag with Elastic & Pinewood

Sta jij klaar om de uitdaging aan te gaan met je security collega’s in de spannende jacht op cyberdreigingen?

Tijdens deze hackaton krijg je een korte introductie tot Elastic Security, gevolgd door een Capture the Flag-oefening waarbij je een echt beveiligingsincident met ransomware zult onderzoeken.

Je wordt geconfronteerd met een realistisch scenario: jouw organisatie is binnengedrongen. Je ontvangt een gedetailleerd rapport over bedreigingen om je op weg te helpen. Het is een hands-on oefening waarbij deelnemers in een competitieve setting verschillende securitychallenges moeten oplossen. Het doel is om op zoek te gaan en bewijs te identificeren van het ransomware-gedrag van de bedreigingsgroep. Kortom, het is een uitdagende en leerzame ervaring voor alle deelnemers,

De winnaar gaat naar huis met een fantastische prijs! Ben jij klaar om je detectievaardigheden te laten zien? Schrijf je dan snel in.

Programma:

12:30 – 13:00 Ontvangst

13:00 – 14:00 Introductie en uitleg

14:00- 14:30 Break

14:30 – 17:00 Hackaton (Hands-on)

17:30 – 18:00 Prijsuitreiking

18:00 – 18:30 Borrel

Voor wie?

Dit event is bedoeld voor:

  • Security Officers
  • CISO’s
  • IT management
  • Technisch of functioneel systeembeheerder

Wanneer en waar?

25 september om 12:00 tot 18:00 bij Delftechpark 35, Delft

Schrijf je hieronder in om deel te nemen aan deze hackaton:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Webinar: “Vertrouw niemand, verifeer alles!” Zero Trust Security in de Zorg.

Zero Trust Security is een innovatieve benadering voor beveiliging die essentieel wordt geacht voor de zorgsector, waar de bescherming van gevoelige patiëntgegevens en de integriteit van medische systemen van cruciaal belang zijn.

In tegenstelling tot traditionele beveiligingsmodellen, die impliciet vertrouwen opbouwen binnen het netwerk, werkt Zero Trust volgens het principe van “vertrouw niemand, verifieer alles”. Dit betekent dat toegang tot data en systemen voortdurend wordt gecontroleerd en geverifieerd, ongeacht of de gebruiker zich binnen of buiten het netwerk bevindt.

In dit webinar richten we ons op de implementatie van Zero Trust Security binnen de zorgsector. In de zorgsector is de implementatie van Zero Trust Security bijzonder belangrijk vanwege de steeds toenemende dreigingen zoals ransomware-aanvallen, datalekken en ongeautoriseerde toegang tot elektronische patiëntendossiers (EPD’s). Deze dreigingen kunnen niet alleen leiden tot ernstige financiële schade, maar ook de zorgverlening en de privacy van patiënten in gevaar brengen.

Het benadrukt zowel het beveiligingsaspect als het belang van vertrouwen in deze kritieke omgeving.We zullen onder andere Medical Internet Of Things (MIOT) en het gebruik van SaaS applicaties onder de loep nemen. En we bekijken hoe we deze informatie kunnen koppelen aan de SOC omgeving van onze partner Pinewood.

Ondanks de uitdagingen die hierbij komen kijken, is de overstap naar een Zero Trust-model een noodzakelijke stap om de weerbaarheid van de zorgsector tegen cyberdreigingen te vergroten en de vertrouwelijkheid en integriteit van patiëntgegevens te waarborgen.

EPD

Voor wie?

Dit webinar is bedoeld voor:

  • Security Officers
  • CISO’s/TISO’s
  • IT management
  • Directie
  • Technisch of functioneel systeembeheerder

Wanneer?

1 oktober om 10:00uur en om 14:00uur. De duur van dit webinar bedraagt ongeveer 20 minuten.

Schrijf je hieronder in om deel te nemen aan dit webinar:

"*" geeft vereiste velden aan

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Pinewood Security Bulletin – Vulnerability in OpenSSH server (CVE-2024-6387)

For English, see below.

Beschrijving

Op 1 juli 2024 is een kwetsbaarheid bekend gemaakt in OpenSSH server wanneer dit gebruikt wordt op glibc-gebaseerde Linux systemen. Deze kwetsbaarheid wordt regreSSHion genoemd (CVE-2024-6387). Het gaat om een raceconditie waarmee een ongeauthenticeerde aanvaller code kan uitvoeren met de hoogste (root) rechten op een systeem. Succesvol misbruik van deze kwetsbaarheid is complex omdat een individuele aanval een lage kans van slagen heeft. Daardoor moet een kwaadwillende over een langere periode aanvallen uitvoeren om deze kans te vergroten.

Er is een Proof-of-Concept (PoC) bekend gemaakt waarmee misbruik in een lab-omgeving is aangetoond. Afhankelijk van de omstandigheden en gebruikte OpenSSH Server versie duurt het tussen de 6 uur en een week om een succesvolle aanval uit te voeren. De verwachting is dat succesvol misbruik op een 64-bit besturingssysteem langer duurt.

De verwachting is dat het uitvoeren grootschalige aanvallen lastig is, met name omdat de aanval over een langere tijd uitgevoerd moet worden om een redelijke kans van slagen te hebben. Het is niet uitgesloten dat volgende versies van de aanvalscode deze kans vergroten en grootschalige aanvallen haalbaar worden.

Het Nederlandse NCSC heeft het risico van deze kwetsbaarheid op M/H (kans/impact) ingeschat.

Kwetsbare versies

Onderstaande lijst van OpenSSH Server versies is kwetsbaar als deze gebruikt wordt op een glibc-gebaseerd Linux systeem. Omdat er naast OpenSSH Server ook voorwaarden zijn in besturingssysteem-instellingen is het advies de security melding van de leverancier van het besturingssysteem na te lezen. Een aantal hiervan staan vermeld onder ‘meer informatie’.

  • OpenSSH Server < 4.4p1 (zie CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Houd er rekening mee dat hardware-apparaten Linux en/of OpenSSH Server als component kunnen gebruiken, wat mogelijk niet direct duidelijk is. Het is daarom aan te raden om de beveiligingsberichten van de leverancier van het apparaat in de gaten te houden, met name voor apparaten die SSH aan het internet blootstellen.

Oplossingen en tijdelijke mitigaties

De kwetsbaarheid is opgelost in de nieuwste versie van OpenSSH Server:

  • OpenSSH Server 9.8

Er is een tijdelijke oplossing beschikbaar door het aanpassen van de OpenSSH Server instelling ‘LoginGraceTime 0‘ en daarna de OpenSSH Server te herstarten.

De oplossing wordt met terugwerkende kracht uitgebracht voor oudere versies door verschillende softwareleveranciers. Zie de beveiligingsmelding van de leverancier van het besturingssysteem voor meer informatie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

On 1 July 2024, a vulnerability was disclosed in OpenSSH server when used on glibc-based Linux systems. This vulnerability is called regreSSHion (CVE-2024-6387). It involves a race condition that allows an unauthenticated attacker to execute code with the highest (root) privileges on a system. Successful exploitation of this vulnerability is complex because an individual attack has a low chance of success. As a result, a malicious person has to perform attacks over a longer period of time to increase this probability.

A Proof-of-Concept (PoC) has been disclosed that demonstrated abuse in a lab environment. Depending on the circumstances and OpenSSH Server version used, it takes between 6 hours and a week to carry out a successful attack. Successful exploitation on a 64-bit operating system is expected to take longer.

Performing large-scale attacks is expected to be difficult, especially as the attack must be performed over a longer period of time to have a reasonable chance of success. It cannot be ruled out that subsequent versions of the attack code will increase this chance and make large-scale attacks feasible.

The Dutch NCSC has estimated the risk of this vulnerability at M/H (probability/impact).

Vulnerable versions

The below list of OpenSSH Server versions is in vulnerable if used on a glibc-based Linux system. As there are conditions in operating system settings besides OpenSSH Server, it is advisable to check the security notice from the operating system vendor. Some of these are listed under ‘more information’.

  • OpenSSH Server < 4.4p1 (see CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Please note that hardware appliances may utilise Linux and/or OpenSSH Server as a component, which may not be immediately apparent. Therefore, it is recommended to monitor security notices from the vendor of the appliance, particularly for appliances that have SSH exposed to the internet.

Solutions and workarounds

The vulnerability has been fixed in the latest version of OpenSSH Server:

  • OpenSSH Server 9.8

A temporary fix is available by modifying the OpenSSH Server setting ‘LoginGraceTime 0‘ and then restarting the OpenSSH Server.

The fix is being retroactively released for older versions by various software vendors. See the operating system vendor’s security notice for more information.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

In de steeds veranderende wereld van cybersecurity is het cruciaal om de juiste tools en technieken te kiezen om bedreigingen te detecteren en te stoppen. Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), en Security Information and Event Management (SIEM) zijn drie veel voorkomende detectie en preventie technologieën die organisaties gebruiken om zich te versterken. Elk van deze oplossingen biedt unieke voordelen en functies, maar ze verschillen significant in hun aanpak en toepassingsgebied. In deze blogpost zullen we de essentie van EDR, XDR en SIEM verkennen en hun onderlinge verschillen benoemen om te helpen bepalen welke oplossing het beste past bij de specifieke behoeften van uw organisatie.

Endpoint Detection and Response (EDR)

Wat is EDR?

Endpoint Detection and Response (EDR) is een technologie die zich richt op het beveiligen van individuele endpoints, zoals werkstations, laptops en mobiele apparaten. EDR-tools zijn ontworpen om geavanceerde bedreigingen op te sporen, te onderzoeken en erop te reageren. Ze bieden gedetailleerd inzicht in activiteiten op endpoints en helpen beveiligingsteams om snel te reageren op incidenten.

Belangrijke Functies van EDR:

  1. Realtime monitoring en detectie: EDR-oplossingen monitoren continu activiteiten op endpoints om verdachte gedragingen direct te kunnen detecteren.
  2. Incidentonderzoek: Door uitgebreide forensische data te verzamelen van de endpoint, stelt EDR een security professional in staat om diepgaand onderzoek te doen wat er precies gebeurd is.
  3. Geautomatiseerde respons: EDR-tools kunnen automatisch reageren op gedetecteerde bedreigingen door bijvoorbeeld kwaadaardige processen te beëindigen of verdachte bestanden in quarantaine te plaatsen.
  4. Geavanceerde Dreigingsdetectie: EDR-tools kunnen geavanceerde bedreigingen detecteren, zoals fileless malware en zero-day exploits, door endpoint-gedrag te analyseren.

Voordelen van EDR:

  • Diepgaand inzicht: EDR biedt gedetailleerde informatie over endpoint-activiteiten, waardoor het makkelijker wordt om de oorsprong en het verloop van aanvallen te begrijpen.
  • Snelle respons: Dankzij geautomatiseerde reacties kunnen bedreigingen snel worden geneutraliseerd, wat de schade beperkt.
  • Verbeterde zichtbaarheid: Continu toezicht op endpoints verbetert de zichtbaarheid van potentiële bedreigingen en kwetsbaarheden.

Nadelen van EDR:

  • Beperkte Scope: EDR is beperkt tot endpoints. Het dekt geen netwerkverkeer, cloud workloads of andere vectoren.
  • Alertvermoeidheid: EDR genereert talloze meldingen, wat security specialisten kan overweldigen als ze niet goed worden beheerd.
  • Afhankelijkheid van Endpoint Agents: EDR vertrouwt op agents die op endpoints zijn geïnstalleerd, wat de systeemprestaties kan beïnvloeden.

Extended Detection and Response (XDR)

Wat is XDR?

Extended Detection and Response (XDR) is een evolutionaire stap vooruit ten opzichte van EDR. XDR breidt de detectie- en responsmogelijkheden uit naar meerdere beveiligingsdomeinen, zoals netwerk, server, e-mail en cloud. Het doel van XDR is om silo’s te doorbreken en een geïntegreerde benadering te bieden voor bedreigingsdetectie en -respons.

Belangrijke Functies van XDR:

  1. Geïntegreerde zichtbaarheid: XDR verzamelt en correleert gegevens van verschillende beveiligingslagen (endpoint, netwerk, cloud) om een holistisch beeld te creëren.
  2. Geavanceerde analyse en correlatie: Door gebruik te maken van machine learning en kunstmatige intelligentie kunnen XDR-oplossingen complexe bedreigingspatronen identificeren en correleren.
  3. Geautomatiseerde en gecoördineerde respons: XDR kan gecoördineerde acties uitvoeren over verschillende beveiligingslagen heen om bedreigingen te neutraliseren.
  4. Incident prioritering: Door bedreigingen te correleren over meerdere lagen, helpt XDR om incidenten beter te prioriteren op basis van hun ernst en impact.

Voordelen van XDR:

  • Brede dekking: XDR biedt uitgebreide dekking over verschillende beveiligingsdomeinen, wat de effectiviteit van dreigingsdetectie en -respons verbetert.
  • Gereduceerde complexiteit: Door integratie en automatisering vermindert XDR de complexiteit en overhead die gepaard gaat met het beheer van meerdere afzonderlijke beveiligingstools.
  • Betere context en prioritering: Geïntegreerde gegevens en analyse bieden betere context en helpen bij het prioriteren van incidenten, wat leidt tot snellere en effectievere reacties.

Nadelen van XDR:

  • Complexiteit van Implementatie: Het integreren van verschillende beveiligingstools in een XDR-platform kan uitdagend zijn.
  • Kosten: XDR-oplossingen vereisen extra investeringen in infrastructuur en licenties.
  • Vendor Lock-In: Organisaties kunnen afhankelijk worden van één XDR-leverancier, wat de flexibiliteit beperkt.

Security Information and Event Management (SIEM)

Wat is SIEM?

Security Information and Event Management (SIEM) is een technologie die is ontworpen om security gerelateerde data en -events te verzamelen, analyseren en rapporteren vanuit verschillende bronnen binnen een IT-infrastructuur. SIEM biedt real-time monitoring en historische analyse van data, waardoor het een cruciaal onderdeel is van het Security Operations Center (SOC) binnen veel organisaties.

Belangrijke Functies van SIEM:

  1. Logverzameling en -beheer: SIEM verzamelt en bewaart logs van diverse bronnen zoals firewalls, IDS/IPS, endpoints, netwerk services, authenticatie, servers en applicaties.
  2. Correlatie en analyse: SIEM correleert loggegevens om bedreigingen te identificeren en geavanceerde analyse uit te voeren op basis van vooraf gedefinieerde regels en use cases zodat security analisten hier de juiste mitigerende acties voor kunnen uitvoeren.
  3. Real-time monitoring: SIEM biedt real-time monitoring van security events en genereert waarschuwingen bij verdachte activiteiten in een zo vroeg mogelijk stadium van een aanval.
  4. Compliance rapportage: SIEM ondersteunt compliance door het genereren van rapporten die voldoen aan wettelijke en industriële normen.

Voordelen van SIEM:

  • Centrale zichtbaarheid: SIEM biedt een gecentraliseerd overzicht van security events binnen de gehele IT-omgeving.
  • Historische analyse: Met SIEM kunnen organisaties trends en patronen in security events analyseren over langere periodes, wat nuttig is voor zowel dreigingsdetectie als compliance.
  • Flexibiliteit en maatwerk: SIEM-systemen zijn doorgaans zeer configureerbaar en kunnen worden aangepast aan de specifieke behoeften van een organisatie.
  • Threat Intelligence: een SIEM biedt eenvoudige mogelijkheden voor het toevoegen van allerlei Threat Intelligence bronnen om context toe te voegen aan detectieregels analisten veel nauwkeurige een alarm kunnen beoordelen.

Nadelen:

  • Complexiteit: SIEM-implementaties kunnen complex en resource-intensief zijn.
  • Hoge Logvolumes: Het beheren en analyseren van grote hoeveelheden logs kan overweldigend zijn.
  • Kosten: de kosten voor SIEM kunnen aanzienlijk zijn vanwege de hoeveelheid data verwerking waarop de meeste SIEM licenties zijn gebaseerd.

Vergelijking en Verschillen Tussen EDR, XDR en SIEM

Hoewel EDR, XDR en SIEM allemaal gericht zijn op het verbeteren van de digitale beveiliging van een organisatie, zijn er aanzienlijke verschillen in hun benadering, mogelijkheden en toepassingsgebieden. Hier zijn de belangrijkste verschillen:

  1. Bereik en Dekking:
    • EDR: Richt zich uitsluitend op endpoints en biedt gedetailleerde zichtbaarheid en bescherming op dit specifieke niveau.
    • XDR: Breidt de dekking uit naar meerdere beveiligingsdomeinen, inclusief endpoints, netwerken, servers, e-mail en cloud. Het biedt een holistisch beeld van de beveiligingspositie van de organisatie.
    • SIEM: Biedt een brede dekking door loggegevens te verzamelen en te analyseren van diverse bronnen binnen de IT-infrastructuur.
  2. Gegevensverzameling en -analyse:
    • EDR: Verzamelt gedetailleerde gegevens van endpoints en gebruikt deze voor diepgaande analyse en dreigingsjacht.
    • XDR: Combineert gegevens van verschillende beveiligingslagen en gebruikt geavanceerde analyse en correlatie om bedreigingen te identificeren en te prioriteren.
    • SIEM: Verzamelt en correleert loggegevens van verschillende bronnen en voert analyse uit op basis van vooraf gedefinieerde regels en use-cases en combineert dit vaak met threat intelligence informatie.
  3. Incident Respons:
    • EDR: Biedt geautomatiseerde responsmogelijkheden op endpoint-niveau, zoals het beëindigen van processen of het in quarantaine plaatsen van bestanden.
    • XDR: Biedt gecoördineerde en geautomatiseerde respons over meerdere beveiligingsdomeinen heen, wat een meer geïntegreerde aanpak mogelijk maakt.
    • SIEM: Biedt voornamelijk detectie en waarschuwingen, met minder nadruk op geautomatiseerde respons. Responsacties worden vaak uitgevoerd door integratie met andere beveiligingstools.
  4. Gebruiksscenario’s:
    • EDR: een must-have voor iedere organisaties voor de beveiliging van endpoints.
    • XDR: Geschikt voor organisaties die een geïntegreerde beveiligingsaanpak willen die meerdere beveiligingslagen omvat en silo’s wil doorbreken.
    • SIEM: Beste keuze voor organisaties die een gecentraliseerd systeem nodig hebben voor logbeheer, compliance rapportage en uitgebreide zichtbaarheid over hun hele IT-omgeving.

Conclusie

De keuze tussen EDR, XDR en SIEM hangt sterk af van de specifieke behoeften en doelstellingen van een organisatie. EDR is uitstekend geschikt voor diepgaande endpointbeveiliging, XDR biedt een holistische en geïntegreerde benadering van dreigingsdetectie en -respons, terwijl SIEM een uitgebreide oplossing biedt voor logbeheer, compliance en brede zichtbaarheid. Onmisbaar voor ieder Security Operations Center (SOC).

Het begrijpen van de unieke voordelen en beperkingen van elk van deze technologieën is essentieel voor het opzetten van een effectieve beveiligingsstrategie. Door de juiste mix van deze tools te kiezen en ze strategisch te implementeren, kunnen organisaties hun vermogen om geavanceerde bedreigingen te detecteren en erop te reageren aanzienlijk verbeteren, waardoor hun algehele beveiligingspositie wordt versterkt.

Advies over de keuze voor EDR, XDR, SIEM

Pinewood is gespecialiseerd in EDR, XDR en SIEM. Neem contact met ons op voor een deskundig advies.

Auteur: Sebastiaan Kors, CEO Pinewood

Pinewood Security Bulletin – Information disclosure vulnerability in Serv-U (CVE-2024-28995)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP en Serv-U MFT) die kwaadwillenden kunnen misbruiken voor het verkrijgen van gevoelige informatie. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van bestanden op het device in te zien.

Er is nog geen actieve uitbuiting van deze kwetsbaarheid bekend, maar gezien de aard van de kwetsbaarheid lijkt uitbuiting triviaal en achten wij de kans op uitbuiting ervan dan ook aannemelijk. Hoewel de kwetsbaarheid zelf geen mogelijkheid biedt tot het verkrijgen van toegang tot het systeem, kan een aanvaller de buitgemaakte informatie mogelijk wel misbruiken om dit doel alsnog te bereiken.

Kwetsbare versies

De kwetsbaarheid bevindt zich in Serv-U 15.4.2 Hotfix 1 (HF1) en alle versies daarvoor.

Oplossingen en tijdelijke mitigaties

SolarWinds heeft Serv-U 15.4.2 Hotfix 2 (HF2) uitgebracht om de kwetsbaarheid te verhelpen. Wij raden aan deze update zo spoedig mogelijk te installeren op kwetsbare systemen.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

SolarWinds has reported a critical vulnerability (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP and Serv-U MFT) that can be exploited by miscreants to collect sensitive information. The vulnerability is a so-called “path traversal” vulnerability that enables an attacker to gain access to random files on the device.

At the moment, no active exploitation of this vulnerability is known. However, given the nature of the vulnerability, we assess active exploitation of it to be likely. Although the vulnerability in itself cannot be exploited to gain access to a vulnerable device, the information that might be collected by exploiting this vulnerability can potentially be used to gain this access.

Vulnerable versions

The vulnerability is reported in Serv-U 15.4.2 Hotfix 1 (HF1) and older versions.

Solutions and workarounds

SolarWinds released Serv-U 15.4.2 Hotfix 2 (HF2) to resolve this issue. We advise to install this update ASAP.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Check Point fixes actively exploited information disclosure vulnerability (CVE-2024-24919)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid in Check Point Gateways die misbruikt kan worden op het moment dat een dergelijke gateway gebruikmaakt van Remote Access VPN of Mobile Access. Ook gateways met IPsec VPN zijn in principe kwetsbaar, maar dit is niet het geval indien deze functionaliteit alleen wordt ingezet voor site-to-site VPN-verbindingen. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van willekeurige bestanden op het device in te zien. Als voorbeeld noemt Check Point de mogelijkheid om informatie te achterhalen over het LDAP-account waarvan een gateway gebruikmaakt voor een verbinding met een Windows Domain Controller in het netwerk.

Aanvallers maken vermoedelijk sinds eind vorige maand misbruik van de kwetsbaarheid waarbij de aanvallen zich volgens Check Point vooral richten op devices die gebruikmaken van local accounts met wachtwoord-gebaseerde authenticatie. De aanvallers lijken daarbij eerst misbruik te maken van de mogelijkheid om de inloggegevens van deze accounts te bemachtigen om deze informatie vervolgens te misbruiken om zich tegen het device te authenticeren. Details over de kwetsbaarheid, en hoe deze misbruikt kan worden voor het verkrijgen van toegang tot informatie, zijn inmiddels publiek gemaakt.

Kwetsbare versies

De kwetsbaarheden zijn aanwezig in releases R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x en R81.20.

Oplossingen en tijdelijke mitigaties

Check Point heeft fixes uitgebracht voor diverse releases van de Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

Zie het FAQ voor CVE-2024-24919 voor links naar alle fixes (inclusief fixes voor Quantum Maestro, Quantum Scalable Chassis en Quantum Spark Appliances).

Naast het installeren van de fixes is het advies om ook lokale accounts waarvan geen gebruikgemaakt wordt, uit te schakelen en om de wachtwoorden van alle lokale accounts – inclusief het LDAP-account – te wijzigen. Daarnaast is het van belang om voor authenticatie niet te vertrouwen op alleen wachtwoorden, maar om multifactor-authenticatie af te dwingen.

Detectie van mogelijk misbruik

Indien de gateway kwetsbaar is geweest, raadt Check Point aan een controle uit te voeren op wachtwoord-gebaseerde inlogactiviteit op het Mobile Access blade over de afgelopen 3 maanden. Dit kan door binnen SmartConsole te kiezen voor Logs & Monitor > Logs en daar de query action:”Log In” AND auth_method:Password AND blade:”Mobile Access” uit te voeren.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Check Point reported a vulnerability in Check Point gateways that can be exploited if such a gateway is configured with Remote Access VPN or Mobile Access. Gateways using the IPsec VPN functionality are also vulnerable, but only if this functionality is used for other purposes than site-to-site VPN connections only. The vulnerability is a so-called “path traversal” vulnerability, allowing an attacker to view the contents of random files on the device. As an example, Check Point mentions the ability to retrieve information on the LDAP account configured on the device to connect to an internal Windows Domain Controller on the network.

Attackers seem to be exploiting the vulnerability since the end of last month whereby the attackers seem to focus on systems using local accounts with password-only authentication. In the attacks, first the exploit is used to gain information on local accounts and then this information is used to authenticate to the device. Details on the vulnerability, as well as examples on how to abuse it to access information on the device, were already published.

Vulnerable versions

The vulnerabilities are present in R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x and R81.20.

Solutions and workarounds

Check Point released the following fixes for Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

See FAQ for CVE-2024-24919 for links to all fixes (including fixes for Quantum Maestro, Quantum Scalable Chassis and Quantum Spark Appliances).

Next to installing these fixes, local accounts that are not in use should be disabled. Passwords for all local accounts, including the LDAP account, should be changed. In addition, authentication to the device should not rely on passwords only, but should be multifactor based.

Detection of possible misuse

If a gateway was found vulnerable, Check Point advises to run checks on this gateway for any password based authentication activity on the Mobile Access blade over the past 3 months. This can be done by selecting Logs & Monitor > Logs within the SmartConsole UI and then issuing the query action:”Log In” AND auth_method:Password AND blade:”Mobile Access”.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl