Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Microsoft Patch Tuesday august 2024

For English, see below.

Samenvatting

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties en om systemen waarop eindgebruikers inloggen te prioriteren.

Beschrijving

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Onder de opgeloste kwetsbaarheden zijn 6 kwetsbaarheden waarvan bekend is dat deze uitgebuit worden. Deze zijn door het CISA toegevoegd aan de ‘Known Exploited Vulnerability’ (KEV) catalogus. Daarnaast zijn er 11 kwetsbaarheden waarvan verwacht wordt dat deze misbruikt kunnen worden.

Hieronder volgt het een overzicht van de 6 kwetsbaarheden waarvan misbruik is gedetecteerd:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Windows Mark of the Web Security Feature Bypass Vulnerability

De Microsoft Project kwetsbaarheid (CVE-2024-38189) raakt met name aan eindgebruikers van Microsoft Project en is afhankelijk van de specifieke macro-instellingen (zie ook de Microsoft FAQ). De impact van de Windows Mark of the Web kwetsbaarheid raakt aan de waarschuwing pop-up die weergegeven wordt bij bestanden die vanaf het internet gedownload zijn. De Windows Scripting kwetsbaarheid vereist dat een gebruiker een malafide website opent in Edge met Internet Explorer mode ingeschakeld. De overige kwetsbaarheden hebben de impact ‘Elevation of Privilege’ waarbij vanuit een gebruiker hogere (SYSTEM) rechten verkregen kunnen worden.

Naast de kwetsbaarheden waarbij misbruik is gedetecteerd, is de analyse van Microsoft dat 11 kwetsbaarheden een grotere kans hebben om in de toekomst misbruikt te worden. Dit zijn de volgende kwetsbaarheden:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

De Windows TCP/IP kwetsbaarheid (CVE-2024-38063) raakt aan de IPv6 stack van Windows en kan leiden tot Remote Code Execution.

Kwetsbare versies

De Microsoft Windows kwetsbaarheden waarvan misbruik bekend is raken aan onderstaande Windows versies. Voor specifieke informatie over de getroffen versies en architecturen verwijzen wij naar de informatie die Microsoft publiceert.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

De Microsoft Project kwetsbaarheid (CVE-2024-38189), die actief misbruikt, wordt raakt de volgende software:

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Oplossingen en tijdelijke mitigaties

Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Raadpleeg de informatie van Microsoft over de specifieke versies die de kwetsbaarheid verhelpen en eventuele (tijdelijk) mitigerende maatregelen.

Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties, zoals Microsoft Project en Edge, die niet altijd onderdeel zijn van de gebruikelijke update procedure. Aanvullend adviseert Pinewood om systemen waarop eindgebruikers (mogen) inloggen, zoals laptops en VDI-omgevingen, te prioriteren.

Meer informatie

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het Pinewood SOC servicedesk is bereikbaar via +31 15 750 1331 en via soc@pinewood.nl.

===== ENGLISH =====

Summary

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Pinewood advises taking desktop applications into account while fixing these vulnerabilities and prioritising systems on which end users log in.

Description

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Among the resolved vulnerabilities are 6 vulnerabilities known to be exploited. These have been added to the ‘Known Exploited Vulnerability’ (KEV) catalogue by CISA. In addition, there are 11 vulnerabilities that are expected to be abused.

The following is an overview of the 6 vulnerabilities where misuse has been detected:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability

The Microsoft Project vulnerability (CVE-2024-38189) affects Microsoft Project end-users and depends on the specific macro settings (see also the Microsoft FAQ). The impact of the Windows SmartScreen vulnerability is a ‘security feature bypass’ that affects the warning pop-up displayed for files downloaded from the Internet. The other vulnerabilities have the impact ‘Elevation of Privilege’ where higher (SYSTEM) privileges can be obtained from a user.

Besides the vulnerabilities where abuse has been detected, Microsoft’s analysis is that 11 vulnerabilities are more likely to be exploited in the future. These are the following vulnerabilities:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

The Windows TCP/IP vulnerability (CVE-2024-38063) affects Windows’ IPv6 stack and can lead to Remote Code Execution.

Vulnerable versions

The Microsoft Windows vulnerabilities known to be exploited affect the Windows versions listed below. For specific information on the affected versions and architectures, please refer to the information published by Microsoft.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

The Microsoft Project vulnerability (CVE-2024-38189), which is being actively exploited, affects the following software

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Solutions and workarounds

Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Refer to Microsoft’s information on the specific versions that fix the vulnerability and any (temporary) mitigating measures.

Pinewood advises to take into account desktop applications, such as Microsoft Project, which are not always part of the usual update procedure while fixing these vulnerabilities. Additionally, Pinewood recommends prioritising systems on which end users (may) log in, such as laptops and VDI environments.

More information

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Cisco Secure Email Gateway: Remote Code Execution due to Arbitrary File Write Vulnerability

For English, see below.

Beschrijving

Op 17 juli 2024 heeft Cisco bekend gemaakt dat er een kritieke kwetsbaarheid in Cisco Secure Email Gateway is ontdekt. De kwetsbaarheid, bekend als CVE-2024-20401, stelt een niet-geauthenticeerde aanvaller in staat om vanaf het internet willekeurige bestanden op het onderliggende besturingssysteem te overschrijven. Dit is mogelijk door de onjuiste verwerking van e-mailbijlagen wanneer file analysis of content filter zijn ingeschakeld. De aanvaller heeft vervolgens volledige controle over het systeem en kan daarmee bijvoorbeeld gebruikers met rootrechten toevoegen, de configuratie wijzigen en willekeurige code uitvoeren.

Op dit moment is er nog geen proof-of-concept code of exploit beschikbaar en lijkt de kwetsbaarheid niet actief misbruikt te worden. Daar kan op korte termijn echter verandering in komen.

Kwetsbare versies

Een Cisco Secure Email Gateway systeem is kwetsbaar als aan de volgende twee voorwaarden is voldaan:

  • De versie van Content Scanner Tools is vóór 23.3.0.4823.
  • Óf de File Analysis feature van Cisco Advanced Malware Protection (AMP) óf de Content Filter feature is ingeschakeld en toegewezen aan een inkomende mail policy.

Om vast te stellen of uw versie van Content Scanner Tools kwetsbaar is, kan het contentscannerstatus commando in de CLI van het Cisco-systeem worden gebruikt. Zie hieronder een voorbeeld van een kwetsbare versie van Content Scanner Tools:

cisco-esa> contentscannerstatus

Component              Version                  Last Updated

Content Scanner Tools  23.1.0.4619.13.0.1500022 Never updated

U kunt controleren of File Analysis ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Advanced Malware Protection te gaan in de management interface. Bekijk voor elke mail policy of Enable File Analysis aangevinkt is. Als dit het geval is, staat de feature ingeschakeld.

U kunt controleren of Content Filter ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Content Filters te gaan in de management interface. Als de Content Filters kolom iets anders dan ‘disabled’ bevat, staat de feature ingeschakeld.

Oplossingen en tijdelijke mitigaties

Er is geen tijdelijke oplossing die deze kwetsbaarheid adresseert.

Om de kwetsbaarheid te verhelpen kan het gehele systeem naar Cisco AsyncOS versie 15.5.1-055 of later geüpdatet worden.

Daarnaast is het ook mogelijk om Content Scanner Tools los te updaten, zodat niet het gehele systeem geüpgraded en gereboot hoeft te worden. Dit kan handmatig via de CLI van het systeem met het contentscannerupdate commando:

cisco-esa> contentscannerupdate

Requesting check for new Content Scanner updates.

Als Content Scanner Tools niet automatisch al geüpdatet was, adviseren we daarnaast te overwegen om van de Automatic Update feature gebruik te maken. Dit kan onder Security Services > Service Updates > Edit Update Settings door het vinkje bij Automatic Updates aan te zetten.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

On July 17, 2024 Cisco announced the discovery of a critical vulnerability in Cisco Secure Email Gateway. The vulnerability, known as CVE-2024-20401, allows an unauthenticated remote attacker to overwrite arbitrary files on the underlying operating system. This is possible due to the improper processing of e-mail attachments when File Analysis or Content Filter are enabled. The attacker then has full control over the system and can, for example, add users with root privileges, change the configuration and execute arbitrary code.

Currently, there is no proof-of-concept code or exploit available and the vulnerability does not appear to be actively exploited.

Vulnerable versions

A Cisco Secure Email Gateway system is vulnerable if the following two conditions are met:

  • The version of Content Scanner Tools is before 23.3.0.4823.
  • Either the File Analysis feature of Cisco Advanced Malware Protection (AMP) or the Content Filter feature is enabled and assigned to an incoming mail policy.

To determine if your version of Content Scanner Tools is vulnerable, the contentscannerstatus command in the Cisco system CLI can be used. See below for an example of a vulnerable version of Content Scanner Tools:

cisco-esa> contentscannerstatus

Component              Version                  Last Updated

Content Scanner Tools  23.1.0.4619.13.0.1500022 Never updated

You can verify that File Analysis is enabled by going to Mail Policies > Incoming Mail Policies > Advanced Malware Protection in the management interface. For each mail policy, see if Enable File Analysis is checked. If it is, the feature is enabled.

You can verify that Content Filter is enabled by going to Mail Policies > Incoming Mail Policies > Content Filters in the management interface. If the Content Filters column contains anything other than disabled, the feature is enabled.

Solutions and workarounds

There is no temporary fix that addresses this vulnerability.

To fix the vulnerability, the entire system can be updated to Cisco AsyncOS version 15.5.1-055 and later.

In addition, it is also possible to update Content Scanner Tools separately so that the entire system does not have to be upgraded and rebooted. This can be done manually through the system’s CLI with the contentscannerupdate command:

cisco-esa> contentscannerupdate

Requesting check for new Content Scanner updates.

Additionally, if Content Scanner Tools was not already automatically updated, we recommend considering using the Automatic Update feature. This can be done under Security Services > Service Updates > Edit Update Settings by checking Automatic Updates.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Vulnerability in OpenSSH server (CVE-2024-6387)

For English, see below.

Beschrijving

Op 1 juli 2024 is een kwetsbaarheid bekend gemaakt in OpenSSH server wanneer dit gebruikt wordt op glibc-gebaseerde Linux systemen. Deze kwetsbaarheid wordt regreSSHion genoemd (CVE-2024-6387). Het gaat om een raceconditie waarmee een ongeauthenticeerde aanvaller code kan uitvoeren met de hoogste (root) rechten op een systeem. Succesvol misbruik van deze kwetsbaarheid is complex omdat een individuele aanval een lage kans van slagen heeft. Daardoor moet een kwaadwillende over een langere periode aanvallen uitvoeren om deze kans te vergroten.

Er is een Proof-of-Concept (PoC) bekend gemaakt waarmee misbruik in een lab-omgeving is aangetoond. Afhankelijk van de omstandigheden en gebruikte OpenSSH Server versie duurt het tussen de 6 uur en een week om een succesvolle aanval uit te voeren. De verwachting is dat succesvol misbruik op een 64-bit besturingssysteem langer duurt.

De verwachting is dat het uitvoeren grootschalige aanvallen lastig is, met name omdat de aanval over een langere tijd uitgevoerd moet worden om een redelijke kans van slagen te hebben. Het is niet uitgesloten dat volgende versies van de aanvalscode deze kans vergroten en grootschalige aanvallen haalbaar worden.

Het Nederlandse NCSC heeft het risico van deze kwetsbaarheid op M/H (kans/impact) ingeschat.

Kwetsbare versies

Onderstaande lijst van OpenSSH Server versies is kwetsbaar als deze gebruikt wordt op een glibc-gebaseerd Linux systeem. Omdat er naast OpenSSH Server ook voorwaarden zijn in besturingssysteem-instellingen is het advies de security melding van de leverancier van het besturingssysteem na te lezen. Een aantal hiervan staan vermeld onder ‘meer informatie’.

  • OpenSSH Server < 4.4p1 (zie CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Houd er rekening mee dat hardware-apparaten Linux en/of OpenSSH Server als component kunnen gebruiken, wat mogelijk niet direct duidelijk is. Het is daarom aan te raden om de beveiligingsberichten van de leverancier van het apparaat in de gaten te houden, met name voor apparaten die SSH aan het internet blootstellen.

Oplossingen en tijdelijke mitigaties

De kwetsbaarheid is opgelost in de nieuwste versie van OpenSSH Server:

  • OpenSSH Server 9.8

Er is een tijdelijke oplossing beschikbaar door het aanpassen van de OpenSSH Server instelling ‘LoginGraceTime 0‘ en daarna de OpenSSH Server te herstarten.

De oplossing wordt met terugwerkende kracht uitgebracht voor oudere versies door verschillende softwareleveranciers. Zie de beveiligingsmelding van de leverancier van het besturingssysteem voor meer informatie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

On 1 July 2024, a vulnerability was disclosed in OpenSSH server when used on glibc-based Linux systems. This vulnerability is called regreSSHion (CVE-2024-6387). It involves a race condition that allows an unauthenticated attacker to execute code with the highest (root) privileges on a system. Successful exploitation of this vulnerability is complex because an individual attack has a low chance of success. As a result, a malicious person has to perform attacks over a longer period of time to increase this probability.

A Proof-of-Concept (PoC) has been disclosed that demonstrated abuse in a lab environment. Depending on the circumstances and OpenSSH Server version used, it takes between 6 hours and a week to carry out a successful attack. Successful exploitation on a 64-bit operating system is expected to take longer.

Performing large-scale attacks is expected to be difficult, especially as the attack must be performed over a longer period of time to have a reasonable chance of success. It cannot be ruled out that subsequent versions of the attack code will increase this chance and make large-scale attacks feasible.

The Dutch NCSC has estimated the risk of this vulnerability at M/H (probability/impact).

Vulnerable versions

The below list of OpenSSH Server versions is in vulnerable if used on a glibc-based Linux system. As there are conditions in operating system settings besides OpenSSH Server, it is advisable to check the security notice from the operating system vendor. Some of these are listed under ‘more information’.

  • OpenSSH Server < 4.4p1 (see CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Please note that hardware appliances may utilise Linux and/or OpenSSH Server as a component, which may not be immediately apparent. Therefore, it is recommended to monitor security notices from the vendor of the appliance, particularly for appliances that have SSH exposed to the internet.

Solutions and workarounds

The vulnerability has been fixed in the latest version of OpenSSH Server:

  • OpenSSH Server 9.8

A temporary fix is available by modifying the OpenSSH Server setting ‘LoginGraceTime 0‘ and then restarting the OpenSSH Server.

The fix is being retroactively released for older versions by various software vendors. See the operating system vendor’s security notice for more information.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Information disclosure vulnerability in Serv-U (CVE-2024-28995)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP en Serv-U MFT) die kwaadwillenden kunnen misbruiken voor het verkrijgen van gevoelige informatie. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van bestanden op het device in te zien.

Er is nog geen actieve uitbuiting van deze kwetsbaarheid bekend, maar gezien de aard van de kwetsbaarheid lijkt uitbuiting triviaal en achten wij de kans op uitbuiting ervan dan ook aannemelijk. Hoewel de kwetsbaarheid zelf geen mogelijkheid biedt tot het verkrijgen van toegang tot het systeem, kan een aanvaller de buitgemaakte informatie mogelijk wel misbruiken om dit doel alsnog te bereiken.

Kwetsbare versies

De kwetsbaarheid bevindt zich in Serv-U 15.4.2 Hotfix 1 (HF1) en alle versies daarvoor.

Oplossingen en tijdelijke mitigaties

SolarWinds heeft Serv-U 15.4.2 Hotfix 2 (HF2) uitgebracht om de kwetsbaarheid te verhelpen. Wij raden aan deze update zo spoedig mogelijk te installeren op kwetsbare systemen.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

SolarWinds has reported a critical vulnerability (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP and Serv-U MFT) that can be exploited by miscreants to collect sensitive information. The vulnerability is a so-called “path traversal” vulnerability that enables an attacker to gain access to random files on the device.

At the moment, no active exploitation of this vulnerability is known. However, given the nature of the vulnerability, we assess active exploitation of it to be likely. Although the vulnerability in itself cannot be exploited to gain access to a vulnerable device, the information that might be collected by exploiting this vulnerability can potentially be used to gain this access.

Vulnerable versions

The vulnerability is reported in Serv-U 15.4.2 Hotfix 1 (HF1) and older versions.

Solutions and workarounds

SolarWinds released Serv-U 15.4.2 Hotfix 2 (HF2) to resolve this issue. We advise to install this update ASAP.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Check Point fixes actively exploited information disclosure vulnerability (CVE-2024-24919)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid in Check Point Gateways die misbruikt kan worden op het moment dat een dergelijke gateway gebruikmaakt van Remote Access VPN of Mobile Access. Ook gateways met IPsec VPN zijn in principe kwetsbaar, maar dit is niet het geval indien deze functionaliteit alleen wordt ingezet voor site-to-site VPN-verbindingen. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van willekeurige bestanden op het device in te zien. Als voorbeeld noemt Check Point de mogelijkheid om informatie te achterhalen over het LDAP-account waarvan een gateway gebruikmaakt voor een verbinding met een Windows Domain Controller in het netwerk.

Aanvallers maken vermoedelijk sinds eind vorige maand misbruik van de kwetsbaarheid waarbij de aanvallen zich volgens Check Point vooral richten op devices die gebruikmaken van local accounts met wachtwoord-gebaseerde authenticatie. De aanvallers lijken daarbij eerst misbruik te maken van de mogelijkheid om de inloggegevens van deze accounts te bemachtigen om deze informatie vervolgens te misbruiken om zich tegen het device te authenticeren. Details over de kwetsbaarheid, en hoe deze misbruikt kan worden voor het verkrijgen van toegang tot informatie, zijn inmiddels publiek gemaakt.

Kwetsbare versies

De kwetsbaarheden zijn aanwezig in releases R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x en R81.20.

Oplossingen en tijdelijke mitigaties

Check Point heeft fixes uitgebracht voor diverse releases van de Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

Zie het FAQ voor CVE-2024-24919 voor links naar alle fixes (inclusief fixes voor Quantum Maestro, Quantum Scalable Chassis en Quantum Spark Appliances).

Naast het installeren van de fixes is het advies om ook lokale accounts waarvan geen gebruikgemaakt wordt, uit te schakelen en om de wachtwoorden van alle lokale accounts – inclusief het LDAP-account – te wijzigen. Daarnaast is het van belang om voor authenticatie niet te vertrouwen op alleen wachtwoorden, maar om multifactor-authenticatie af te dwingen.

Detectie van mogelijk misbruik

Indien de gateway kwetsbaar is geweest, raadt Check Point aan een controle uit te voeren op wachtwoord-gebaseerde inlogactiviteit op het Mobile Access blade over de afgelopen 3 maanden. Dit kan door binnen SmartConsole te kiezen voor Logs & Monitor > Logs en daar de query action:”Log In” AND auth_method:Password AND blade:”Mobile Access” uit te voeren.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Check Point reported a vulnerability in Check Point gateways that can be exploited if such a gateway is configured with Remote Access VPN or Mobile Access. Gateways using the IPsec VPN functionality are also vulnerable, but only if this functionality is used for other purposes than site-to-site VPN connections only. The vulnerability is a so-called “path traversal” vulnerability, allowing an attacker to view the contents of random files on the device. As an example, Check Point mentions the ability to retrieve information on the LDAP account configured on the device to connect to an internal Windows Domain Controller on the network.

Attackers seem to be exploiting the vulnerability since the end of last month whereby the attackers seem to focus on systems using local accounts with password-only authentication. In the attacks, first the exploit is used to gain information on local accounts and then this information is used to authenticate to the device. Details on the vulnerability, as well as examples on how to abuse it to access information on the device, were already published.

Vulnerable versions

The vulnerabilities are present in R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x and R81.20.

Solutions and workarounds

Check Point released the following fixes for Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

See FAQ for CVE-2024-24919 for links to all fixes (including fixes for Quantum Maestro, Quantum Scalable Chassis and Quantum Spark Appliances).

Next to installing these fixes, local accounts that are not in use should be disabled. Passwords for all local accounts, including the LDAP account, should be changed. In addition, authentication to the device should not rely on passwords only, but should be multifactor based.

Detection of possible misuse

If a gateway was found vulnerable, Check Point advises to run checks on this gateway for any password based authentication activity on the Mobile Access blade over the past 3 months. This can be done by selecting Logs & Monitor > Logs within the SmartConsole UI and then issuing the query action:”Log In” AND auth_method:Password AND blade:”Mobile Access”.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Mitel fixes critical vulnerabilities in MiCollab

For English, see below.

Beschrijving

Mitel heeft updates uitgebracht voor het samenwerkingsplatform MiCollab waarmee het twee ernstige kwetsbaarheden in dit product verhelpt. De kwetsbaarheden bevinden zich in het NuPoint Unified Messaging (NPM) component van MiCollab en hebben de inschaling “Critical” gekregen (CVSSv3-score 9,8). De kwetsbaarheden betreffen een command-injectiekwetsbaarheid (CVE-2024-35285) en een SQL-injectiekwetsbaarheid (CVE-2024-35286) die ongeauthenticeerde aanvallers kunnen misbruiken voor het verkrijgen van gevoelige informatie, het uitvoeren van willekeurige operaties op de gebruikte database en het uitvoeren van willekeurige commando’s op het systeem.

Nadere informatie over de kwetsbaarheden, alsmede informatie over actieve uitbuiting hiervan, ontbreekt op dit moment. Gezien de aard van de kwetsbaarheden achten wij de kans op actieve uitbuiting echter aanwezig.

Kwetsbare versies

De kwetsbaarheden zijn aanwezig in MiCollab versie 9.8.0.33 en eerder.

Oplossingen en tijdelijke mitigaties

Mitel heeft MiCollab 9.8 SP1 (9.8.1.5) uitgebracht om deze kwetsbaarheden te verhelpen. Wij raden aan zo spoedig mogelijk te upgraden naar deze versie van MiCollab.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

Mitel released updates for the MiCollab collaboration platform to fix two vulnerabilities in this product. The vulnerabilities exist within the NuPoint Unified Messaging (NUM) component of MiCollab and were rated critical (CVSSv3 score 9.8) by Mitel. The vulnerabilities are a command injection vulnerability (CVE-2024-35285) and a SQL injection vulnerability (CVE-2024-35286) that allow unauthenticated attackers to collect sensitive information, execute random operations on the database and execute random commands on the system.

No additional information is currently available on the vulnerabilities and the exploitation of it. However, given the nature of the vulnerabilities, we assess active exploitation to be likely.

Vulnerable versions

MiCollab version 9.8.0.33 and earlier are vulnerable.

Solutions and workarounds

Mitel released MiCollab 9.8 SP1 (9.8.1.5) to correct the reported vulnerabilities. We advise to upgrade to this latest version of MiCollab as soon as possible.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Cisco warns for vulnerabilities used to install backdoors in ASA/FirePower devices

For English, see below.

Beschrijving

Cisco heeft een waarschuwing uitgegeven voor een aanvalscampagne genaamd “ArcaneDoor” waarbij kwaadwillenden sinds November 2023 Cisco ASA en FirePower devices hebben voorzien van backdoors. De vermoedelijk statelijke actor achter deze campagne (UAT4356/STORM-1849) heeft daarbij twee verschillende typen backdoors op devices geplaatst (“Line Runner” en “Line Dancer”). Met deze backdoors kon de actor configuraties van devices wijzigen, verdere reconnaissance uitvoeren, netwerkverkeer onderscheppen en exfiltreren en mogelijk verder bewegen binnen het netwerk.

Binnen de campagne hebben de aanvallers misbruik gemaakt van twee kwetsbaarheden waarmee lokaal root-rechten kunnen worden verkregen (CVE-2024-20359) en op afstand een reboot van het device kan worden geïnitieerd (CVE-2024-20353). Geen van beide kwetsbaarheden bieden een aanvaller echter de mogelijkheid om op afstand ongeauthenticeerd toegang tot een device te verkrijgen. Het is op dit moment dan ook nog onduidelijk hoe de aanvallers in eerste instantie deze toegang hebben verkregen.

Kwetsbare versies

De kwetsbaarheden bevinden zich in Cisco ASA 9.12 en 9.14.

Oplossingen en tijdelijke mitigaties

Cisco heeft nieuwe versies van Cisco ASA uitgebracht om de kwetsbaarheden te verhelpen. De meest recente versies van Cisco ASA zijn:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detectie van mogelijk misbruik

Detectie van “Line Runner”

Cisco beschrijft twee methoden voor het detecteren van de “Line Runner” backdoor die beiden controles bevatten op de aanwezigheid van een ZIP-bestand op disk0:

  • Optie 1: Update het device met een fix voor CVE-2024-20359 en bekijk daarna de inhoud van disk0: (via het commando show disk0:). Indien disk0: een ZIP-bestand bevat (“client_bundle_install.zip” of andere ongebruikelijke ZIP), dan is dat een indicatie van de aanwezigheid van “Line Runner”.
  • Optie 2: Maak een dummy ZIP-bestand aan op disk0:, reboot het device en controleer daarna of het bestand “client_bundle_install.zip” aanwezig is op disk0:. Indien dit het geval is, is dit een sterke indicatie voor de aanwezigheid van “Line Runner”. Voer voor deze controle de volgende commando’s uit (let op dat het device hierdoor zal herstarten):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Controle van geheugen

Via het commando show memory region | include lina is het mogelijk een output te genereren van de geheugenopmaak van het device. In de output van dit commando mag er maar één regel voorkomen waarin de permissies “r-xp” terug te vinden zijn. Indien meerdere regels in de output deze permissies bevatten, is het device mogelijk gecompromitteerd.

Controle van IP-adressen

Cisco heeft een reeks aan IP-adressen gepubliceerd die in de aanvalscampagne zijn gebruikt. Het Pinewood SOC heeft deze IP-adressen aan de monitoring toegevoegd en een historische check uitgevoerd tegen de data van klanten die gebruikmaken van Cisco ASA.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Cisco sent out a warning for a threat actor campaign named “ArcaneDoor” in which attackers have infected Cisco ASA and FirePower devices with backdoors since November 2023. It is believed that the nation-state actor UAT4356 (STORM-1849) behind this campaign distributed two backdoors (“Line Runner” and “Line Dancer”) to vulnerable devices. With these backdoors in place, the threat actor was able to modify the system’s configuration, start reconnaissance, capture and exfiltrate network traffic and potentially move laterally within the network.

Within the campaign, the attackers exploited two vulnerabilities, one that enables a local attacker to gain root-permissions (CVE-2024-20359) and another that allows a remote attacker to initiate a reboot of the device (CVE-2024-20353). None of these vulnerabilities allow an attacker to gain remote access to the device. It is therefore still unclear how the attackers succeeded in getting the initial access in the first place.

Vulnerable versions

The vulnerabilities exist in ASA versions 9.12 and 9.14.

Solutions and workarounds

Cisco released new versions of Cisco ASA to fix the vulnerabilities. The most recent versions of Cisco ASA currently are:

  • 9.16.4.57
  • 9.18.4.22
  • 9.20.2.10

Detection of possible misuse

Detection of “Line Runner”

Cisco describes two ways in which the existence of “Line Runner” on a device can be determined by checking for a specific ZIP-file on disk0:

  • Option 1: Update the device with a fix for CVE-2024-20359 and then check the contents of disk0: (by issuing the command show disk0:). If disk0: contains a ZIP file (“client_bundle_install.zip” or other unusual ZIP-file), this is an indication that “Line Runner” is installed on the device.
  • Option 2: Create a dummy ZIP file on disk0:, reboot the device and then check if the file “client_bundle_install.zip” can be found on disk0:. If this is the case, this is a strong indication that “Line Runner” is installed. To execute this check, use the commands below (note that the device will reboot):

    asa> enable
    asa# show version | redirect disk0:/client_bundle.zip
    asa# show disk0:
    asa# reload
    asa> enable
    asa# show disk0:

Memory check

By running the command show memory region | include lina, it’s possible to generate an output showing all the memory regions active within the device. This output should contain only one line showing the permissions “r-xp”. If multiple memory regions are enabled with these permissions, this is an indication that the device has been compromised.

IP address check

Cisco published a list of IP addresses that are known to be involved in the attacks. The Pinewood SOC added these IP addresses to its detection and executed a historical check against data of customers using Cisco ASA.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

UPDATE 2: Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Update 17-04-2024

Deze mail bevat diverse updates over de recente kwetsbaarheid in Palo Alto PAN-OS.

Palo Alto geeft aan dat, in tegenstelling tot wat eerder werd gesteld, het uitschakelen van de ‘Device Telemetry’-functionaliteit geen bescherming biedt tegen misbruik van deze kwetsbaarheid. Elk device dat gebruikmaakt van de ‘GlobalProtect’-functionaliteit is daarom kwetsbaar wanneer deze niet is voorzien van de laatste updates en ‘Threat Prevention’ voor deze kwetsbaarheid niet is ingeschakeld.

Verder geeft Palo Alto aan dat de kwetsbaarheid in toenemende mate wordt misbruikt en dat er diverse proof of concepts zijn verschenen waarmee het mogelijk is deze kwetsbaarheid uit te buiten.

Tot slot zijn er updates verschenen voor aanvullende versies van PAN-OS en heeft Palo Alto een check beschreven die op PAN-OS devices kan worden uitgevoerd om te controleren of misbruik van de kwetsbaarheid heeft plaatsgevonden.

Bovenstaande ontwikkelingen zijn de reden voor een update op onze initiële bulletin. De details zijn terug te vinden in de rest van dit bulletin.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het de ‘GlobalProtect’-functionaliteit gebruikt. Palo Alto geeft aan dat deze kwetsbaarheid actief wordt misbruikt voor het overnemen van kwetsbare devices.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3 (inclusief 11.1.0- en 11.1.1-versies)
  • PAN-OS 11.0: versies voor 11.0.4-h1 (inclusief 11.0.0 t/m 11.0.3-versies)
  • PAN-OS 10.2: versies voor 10.2.9-h1 (inclusief 10.2.0 t/m 10.2.8-versies)

Oplossingen en tijdelijke mitigaties

Palo Alto heeft hotfixes uitgebracht die deze kwetsbaarheid verhelpen. Het gaat om onderstaande hotfixes:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

 

Hotfixes voor overige kwetsbare versies van PAN-OS zal Palo Alto in de komende dagen uitbrengen.

Indien er nog geen hotfix beschikbaar is voor de gebruikte versie van PAN-OS, bestaat er voor klanten met een ‘Threat Prevention’-abonnement de mogelijkheid om misbruik van de kwetsbaarheid te blokkeren. Dit kan worden gedaan door ‘Threat ID’ 95187 te activeren. Let er op dat deze threat ID moet worden toegepast op de GlobalProtect interface. Zie dit artikel voor meer informatie.

Noot: voorheen leek ook het uitschakelen van de ‘Device Telemetry’-functionaliteit een mitigerende maatregel te zijn. Inmiddels is echter duidelijk dat het uitschakelen hiervan geen effectieve maatregel is om misbruik van de kwetsbaarheid te voorkomen.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een toenemende hoeveelheid aanvallen is waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Daarnaast heeft Palo Alto een aantal manieren beschreven waarop misbruik van de kwetsbaarheid kan worden vastgesteld.

Generieke detectie

Controle op misbruik van de kwetsbaarheid is mogelijk door onderstaand commando uit te voeren binnen de PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Bij normaal gebruik van het device verschijnen, als output van dit commando, regels zoals hieronder, waarbij aan het einde van de regel tussen de haakjes een GUID zichtbaar is:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

Indien tussen de haakjes geen GUID maar een padverwijzing te zien is, wijst dit op succesvol misbruik van de kwetsbaarheid.

Detectie van initiële campagne

Naast de generieke detectie van misbruik van de kwetsbaarheid, heeft Palo Alto ook queries beschikbaar gesteld waarmee het mogelijk is om te controleren of een device mogelijk gecompromitteerd is bij een initiële campagne van misbruik. Deze controle kan worden uitgevoerd in de vorm van XQL-queries waarbij gezocht wordt op de volgende kenmerken:

  • De aanwezigheid van het domein .*nhdata.s3-us-west-2.amazonaws[.]com in de ruwe logs;
  • Hits op signature 95187 (indien deze is geactiveerd via Threat Prevention);
  • De aanwezigheid van bekende malafide IP-adressen in de ruwe logs en in telemetriedata.

Deze controles hebben betrekking op kenmerken van een bekende campagne en helpen niet bij het detecteren van nieuwe aanvallen.

Het Pinewood SOC heeft de bekende indicatoren van deze campagne in de detectie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Update 17-04-2024

This mail describes several updates on the recent vulnerability in Palo Alto PAN-OS.

Palo Alto has indicated that, contrary to what was previously stated, disabling the ‘Device Telemetry’  functionality does not prevent exploitation of the vulnerability. Each device using the ‘ GlobalProtect’  functionality without the hotfixes installed and without the specific ‘Threat Prevention’ for this vulnerability enabled, is therefore vulnerable.

In addition, Palo Alto has stated that this vulnerability is increasingly being abused and that multiple proof of concepts were released that will enable easy exploitation of it.

Several additional hotfixes were released for other versions of PAN-OS and Palo Alto described an additional check that can be performed on devices to determine if the vulnerability was successfully exploited on the device.

These developments have been the reason for this updated bulletin. You can find the details in the remainder of this bulletin.

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses the ‘GlobalProtect’ functionality. Palo Alto indicates that this vulnerability is actively being abused to infect vulnerable devices.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3 (including 11.1.0 and 11.1.1 versions)
  • PAN-OS 11.0: versions prior to 11.0.4-h1 (including versions 11.0.0 through 11.0.3)
  • PAN-OS 10.2: versions prior to 10.2.9-h1 (including versions 10.2.0 through 10.2.8)

Solutions and workarounds

Palo Alto released hotfixes to resolve this vulnerability. The following versions were released:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

Hotfixes for other vulnerable versions of PAN-OS will be released in the coming days.

If a hotfix is not yet available for the version of PAN-OS in use, customers with a Threat Prevention subscription have the ability to block exploitation of the vulnerability. This can be done by enabling ‘Threat ID’ 95187. Ensure that this threat ID is applied to the GlobalProtect interface. See this article for more information.

Note: previously, disabling the ‘Device Telemetry’ functionality was seen as a mitigating measure as well. However, recent exploitation has shown that this is not an effective measure to block exploitation of the vulnerability.

Detection of possible misuse

Palo Alto Networks is aware of an increasing number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

In addition, Palo Alto has released information on how to detect abuse of the vulnerability in multiple ways.

Generic detection

Detection of the vulnerability on a device can be determined by running the following command within the PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Normally, this will result in an output such as below whereby at the end of the line (between the “(“ and “)” characters) a GUID will be visible:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

If this GUID is not visible, but instead a file system path is shown, this indicates successful exploitation of the vulnerability.

Detection of initial campaign

Next to the generic detection, Palo Alto also released queries that will allow for checks on an initial campaign whereby this vulnerability was exploited. The XQL-queries search for the existence of several different characteristics:

  • The existence of the domain .*nhdata.s3-us-west-2.amazonaws[.]com in raw logs;
  • Hits on signature 95187 (if this signature is enabled through Threat Prevention);
  • The existence of well-known malicious IP addresses in raw logs and telemetry data.

These checks are specifically meant to detect the existence of a well-known campaign exploiting this vulnerability and thus will not detect other campaigns.

Pinewood SOC added the known indicators of this campaign to its detection.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het zowel de ‘GlobalProtect’- als de ‘Device Telemetry’-functionaliteit gebruikt.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3
  • PAN-OS 11.0: versies voor 11.0.4-h1
  • PAN-OS 10.2: versies voor 10.2.9-h1

Oplossingen en tijdelijke mitigaties

De nieuwste versie van PAN-OS, die een oplossing biedt voor deze kwetsbaarheid, staat gepland voor 14 april 2024.

Voor de periode tot de release zijn er enkele tijdelijke maatregelen die kunnen worden genomen:

Klanten met een ‘Threat Prevention’-abonnement

Klanten met een abonnement op Threat Prevention kunnen de kwetsbaarheid blokkeren door ‘Threat ID’ 95187 te activeren.

Klanten zonder een ‘Threat Prevention’-abonnement

Klanten zonder een Threat Prevention-abonnement kunnen de kwetsbaarheid mitigeren door tijdelijk de ‘Device Telemetry’-functionaliteit uit te schakelen. Raadpleeg de documentatie van Palo Alto Networks voor meer informatie over het uitschakelen van deze functie.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een beperkt aantal aanvallen zijn waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

 

===== ENGLISH =====

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses both the ‘GlobalProtect’ and ‘Device Telemetry’ functionalities.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3
  • PAN-OS 11.0: versions prior to 11.0.4-h1
  • PAN-OS 10.2: versions prior to 10.2.9-h1

Solutions and workarounds

Currently the latest version of PAN-OS is still vulnerable, the new release which provides a solution to this vulnerability, is scheduled for April 14, 2024.

For the period before the release, there are some temporary mitigations that can be taken:

Customers with a Threat Prevention subscription
Customers with a Threat Prevention subscription can block the vulnerability by enabling ‘Threat ID’ 95187.

Customers without a Threat Prevention subscription
Customers without a Threat Prevention subscription can mitigate the vulnerability by temporarily disabling the ‘Device Telemetry’ functionality. Refer to Palo Alto Networks documentation for more information on disabling this feature.

Detection of possible misuse

Palo Alto Networks is aware of a limited number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Backdoor found in XZ Utils (CVE-2024-3094)

PinewoFor English, see below.

Beschrijving

Er is een backdoor (CVE-2024-3094) aangetroffen in de Linux liblzma-bibliotheek (onderdeel van het “XZ Utils” package) voor het comprimeren en decomprimeren van data. Hoewel deze bibliotheek standaard onderdeel uitmaakt van veel Linux-distributies, lijkt het erop dat de backdoored versie hiervan niet verder is gekomen dan de “unstable”, “test”, “rolling” en “experimental” releases van Linux-distributies. Dit is te danken aan het feit dat de backdoor vroegtijdig werd ontdekt door PostgreSQL-ontwikkelaar Anders Freund.

De backdoor maakt het mogelijk om, via de OpenSSH-service op een Linux-systeem, op afstand willekeurige code uit te voeren door gebruik te maken van een, door de aanvaller gegenereerde, digitale sleutel. De backdoor lijkt na een lange voorbereiding op 24 Februari 2024 geïntroduceerd in de broncode van deze bibliotheek, waarna de ontwikkelaar van de programmatuur (“Jia Tan”) en meerdere personages hebben geprobeerd om deze wijziging zo snel als mogelijk op te laten nemen in de productieversies (“stable” releases) van populaire Linux-distributies zoals Ubuntu en Fedora. Gelukkig is dit dus niet gelukt waardoor de daadwerkelijke impact van de backdoor hiermee beperkt lijkt. Het roept echter wel vragen op m.b.t. andere wijzigingen (“commits”) die Jia Tan over de afgelopen jaren heeft voorgesteld en doorgevoerd in open source producten zoals XZ Utils en libarchive. Deze wijzigingen worden op dit moment door veel ontwikkelaars onderzocht en, waar verdacht, weer teruggedraaid.

Kwetsbare versies

De backdoor bevindt zich in de versies 5.6.0 en 5.6.1 van liblzma. Deze versies zijn door Linux-distributies niet opgenomen in productie/stable releases van deze platformen. Volgens de laatste informatie bevatten onderstaande Linux-distributies genoemde versies:

  • Kali Linux, indien geüpdatet tussen 26 en 29 Maart 2024 [1];
  • openSUSE Tumbleweed en openSUSE MicroOS (beide “rolling” releases), releases tussen 7 en 28 Maart 2024 [2];
  • Fedora 41, Fedora Rawhide en Fedora Linux 40 beta [3];
  • Debian (testing, unstable en experimental distributies) [4];
  • Arch Linux, installatiemedium 2024.03.01, VM images 20240301.218094 en 20240315.221711, en container images die zijn aangemaakt tussen 24 februari 2024 en 28 maart 2024 [5]. Misbruik van de backdoor is hierbij echter niet mogelijk via (Open)SSH.

Oplossingen en tijdelijke mitigaties

De kans dat een organisatie gebruikmaakt van één van bovenstaande Linux-versies die daarnaast ook nog eens internet exposed is via de SSH-service achten wij niet groot. Mocht dit wél het geval zijn, dan is het van belang om het systeem zo snel als mogelijk te isoleren. Volg daarna de aanwijzingen van de betreffende leverancier op.

Detectie

Om te verifiëren óf een systeem gebruikmaakt van een backdoored versie van de genoemde bibliotheek hebben de makers van Kali een script beschikbaar gesteld waarmee dit eenvoudig is vast te stellen [6]. Mocht u twijfelen of een systeem de backdoor bevat, maak dan gebruik van dit script om dit vast te stellen.

Door de manier waarop de backdoor is ingebouwd, is het voor zover nu bekend niet mogelijk om geraakte systemen via netwerkscanners te inventariseren.

Meer informatie

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

 

===== ENGLISH =====

Description

A backdoor (CVE-2024-3094) was found in the liblzma Linux library (part of the XZ Utils package), used to compress and decompress data. Although this library is used in many Linux distributions, the backdoored version of it has “only” reached the unstable, test, rolling and experimental releases of these distributions. Early detection of the backdoor by PostgreSQL developer Anders Freud has prevented the acceptance of the backdoor in stable releases.

The backdoor allows the threat actor to compromise a system by calling the OpenSSH service using a preconfigured digital key. The backdoor was introduced in the package on 24 February 2024 after a long time of preparation. Shortly after releasing the backdoor, the developer (“Jia Tan”) and multiple other personas tried to introduce the backdoor as soon as possible in the production (stable) versions of popular Linux distributions such as Ubuntu and Fedora. Luckily, this has not proven to be successful which limits the impact of this incident. It does however raise questions about other changes that Jia Tan has initiated over the years in open source products such as XZ Utils and libarchive. These changes are currently reviewed by many developers and, where appropriate, reverted.

Vulnerable versions

The backdoor is built into liblzma versions 5.6.0 and 5.6.1. The versions were not accepted into the stable releases of Linux distributions. According to the latest information, the Linux distributions below are known to have used these versions:

  • Kali Linux, if updated between 26 and 29 March 2024 [1];
  • openSUSE Tumbleweed and openSUSE MicroOS (both “rolling” releases), releases between 7 and 28 March 2024 [2];
  • Fedora 41, Fedora Rawhide and Fedora Linux 40 beta [3];
  • Debian (testing, unstable and experimental distributions) [4];
  • Arch Linux, installation medium 2024.03.01, VM images 20240301.218094 and 20240315.221711, and container images created between 24 February 2024 and 28 March 2024 [5]. Exploitation of the backdoor via OpenSSH is however not possible.

Solutions and workarounds

We consider the chances low that organisations run one of the Linux distributions mentioned before on a system that is also exposing its SSH service towards the internet. If this is however the case, it is of upmost importance to isolate the system as soon as possible. Next, follow the instructions as given by the respective vendor.

Detection

To verify if a system is using a backdoored version of the library, the developers of Kali have created a script that will allow you to quickly determine this [6]. If you’re unsure whether or not a backdoored version of the library is in use on a system, we advise you to run this script.

Due to the way the backdoor is built, we do not know of any network scanner that is able to determine impacted systems by running a network scan.

More information

[1] https://www.kali.org/blog/about-the-xz-backdoor/

[2] https://news.opensuse.org/2024/03/29/xz-backdoor/

[3] https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users

[4] https://lists.debian.org/debian-security-announce/2024/msg00057.html

[5] https://archlinux.org/news/the-xz-package-has-been-backdoored/

[6] https://www.kali.org/blog/xz-backdoor-getting-started/

[7] https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27

[8] https://boehs.org/node/everything-i-know-about-the-xz-backdoor

[9] https://www.tenable.com/blog/frequently-asked-questions-cve-2024-3094-supply-chain-backdoor-in-xz-utils

[10] https://access.redhat.com/security/cve/CVE-2024-3094

[11] https://tukaani.org/xz-backdoor/

[12] https://blog.qualys.com/vulnerabilities-threat-research/2024/03/29/xz-utils-sshd-backdoor

[13] https://linuxiac.com/the-upstream-xz-tarballs-have-been-backdoored/

[14] https://github.com/Midar/xz-backdoor-documentation/wiki

[15] https://tweakers.net/nieuws/220364/5-vragen-over-de-malware-in-compressietool-xz-was-dit-een-achterdeur.html

[16] https://www.rapid7.com/blog/post/2024/04/01/etr-backdoored-xz-utils-cve-2024-3094/

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl