Blog:

De geschiedenis van 30 jaar cybersecurity

Lees verder

Pinewood Security Bulletin – Active exploitation of vulnerability (CVE-2024-55591) in FortiOS administrative interface

For English, see below.

Beschrijving

Fortinet heeft bekendgemaakt dat er zich een kwetsbaarheid (CVE-2024-55591) bevindt in de Node.js socket module die onderdeel uitmaakt van de beheerinterface op FortiOS- en FortiProxy-gebaseerde systemen. Middels deze kwetsbaarheid kan een aanvaller op afstand en zonder authenticatie vooraf super-admin privileges verkrijgen. Misbruik is mogelijk wanneer de HTTP(S) beheerinterface van een kwetsbaar systeem is opengesteld richting internet en geen IP-restricties zijn toegepast.

Fortinet geeft aan dat deze kwetsbaarheid inmiddels al actief misbruikt is. ArcticWolf heeft een campagne beschreven waarin een onbekende actor sinds november 2024 misbruik lijkt te hebben gemaakt van deze kwetsbaarheid waarbij in sommige gevallen de initiële toegang is misbruikt voor verdere laterale bewegingen in het netwerk van een slachtoffer.

Kwetsbare versies

De kwetsbaarheid bevindt zich in FortiOS 7.0 en FortiProxy 7.0 en 7.2. Overige versies van FortiOS en FortiProxy zijn niet kwetsbaar. Specifiek bevindt de kwetsbaarheid zich onderstaande versies van deze producten:

  • FortiOS 7.0: versies 7.0.0 t/m 7.0.16
  • FortiProxy 7.0: versies 7.0.0 t/m 7.0.19
  • FortiProxy 7.2: versies 7.2.0 t/m 7.2.12

Oplossingen en tijdelijke mitigaties

Fortinet heeft nieuwe versies van FortiOS en FortiProxy uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden aan deze versie zo spoedig mogelijk te installeren:

  • FortiOS 7.0: upgrade naar versie 7.0.17 of nieuwer
  • FortiProxy 7.0: upgrade naar versie 7.0.20 of nieuwer
  • FortiProxy 7.2: upgrade naar versie 7.2.13 of nieuwer

Daarnaast kan misbruik worden voorkomen door de administratieve interface in het geheel niet beschikbaar te stellen via internet of, indien vereist, hierop strikte IP-restricties toe te passen. Het security bulletin van Fortinet beschrijft de configuratie die kan worden toegepast om een dergelijke IP-restrictie op een Fortinet-device toe te passen.

Detectie van mogelijk misbruik

Misbruik kan worden gedetecteerd door in de logging te zoeken naar succesvolle inlogpogingen op het systeem vanuit “jsconsole”, in combinatie met ongebruikelijke IP-adressen. Bij de nu bekende campagne zijn de IP-adressen 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.4.4 en 8.8.8.8 zichtbaar als bron-IP.

Daarnaast maakt de aanvaller in sommige gevallen een nieuw administratief account aan met een willekeurige naam wat tevens een indicatie van misbruik is.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheid.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Fortinet has announced the discovery of a vulnerability (CVE-2024-55591) in the Node.js socket module, which is part of the administrative interface on FortiOS- and FortiProxy-based systems. This vulnerability allows a remote attacker to gain super-admin privileges without prior authentication. Exploitation is possible if the HTTP(S) administrative interface of a vulnerable system is exposed to the internet without applying IP restrictions.

Fortinet has confirmed that this vulnerability has already been actively exploited. ArcticWolf has documented a campaign in which an unknown actor appears to have exploited this vulnerability since November 2024. In some cases, initial access was used for further lateral movement within the victim’s network.

Vulnerable versions

The vulnerability affects FortiOS 7.0 and FortiProxy 7.0 and 7.2. Other versions of FortiOS and FortiProxy are not affected. Specifically, the vulnerability is present in the following versions:

  • FortiOS 7.0: versions 7.0.0 through 7.0.16
  • FortiProxy 7.0: versions 7.0.0 through 7.0.19
  • FortiProxy 7.2: versions 7.2.0 through 7.2.12

Solutions and workarounds

Fortinet has released updated versions of FortiOS and FortiProxy to address this vulnerability. It is strongly recommended to install these updates as soon as possible:

  • FortiOS 7.0: Upgrade to version 7.0.17 or later
  • FortiProxy 7.0: Upgrade to version 7.0.20 or later
  • FortiProxy 7.2: Upgrade to version 7.2.13 or later

To prevent exploitation, ensure that the administrative interface is not accessible via the internet. If this is required, apply strict IP restrictions. Fortinet’s security bulletin provides guidance on configuring IP restrictions on Fortinet devices.

Detection of possible misuse

Exploitation can be detected by checking logs for successful login attempts from “jsconsole,” combined with unusual IP addresses. In the currently known campaign, the following IP addresses have been observed as source IPs: 1.1.1.1, 127.0.0.1, 2.2.2.2, 8.8.4.4, and 8.8.8.8.

Additionally, attackers may create a new administrative account with a random name, which could also indicate misuse.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from this vulnerability.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin –  Critical vulnerability in Ivanti Connect Secure (CVE-2025-0282)

For English, see below.

Beschrijving

Ivanti heeft een ernstige kwetsbaarheid in Connect Secure en Policy Secure bekendgemaakt (CVE-2025-0282) waarmee een niet-geauthenticeerde aanvaller op afstand willekeurige code kan uitvoeren op een kwetsbaar systeem. Volgens Ivanti is deze kwetsbaarheid reeds op kleine schaal misbruikt voor het overnemen van Connect Secure systemen.

Daarnaast heeft Ivanti ook een aanvullende kwetsbaarheid verholpen (CVE-2025-0283) waarmee een geauthenticeerde aanvaller zijn rechten kan verhogen. Hoewel een aanvaller deze tweede kwetsbaarheid ogenschijnlijk in tandem zou kunnen misbruiken met de eerste kwetsbaarheid voor het uitvoeren van willekeurige code met verhoogde rechten, geeft Ivanti aan dat zij nog geen misbruik heeft waargenomen van deze tweede kwetsbaarheid. Mogelijk dat hierin verandering gaat komen nu informatie over deze tweede kwetsbaarheid bekend is geworden.

Kwetsbare versies

Beide kwetsbaarheden bevinden zich in onderstaande Ivanti-producten:

  • Ivanti Connect Secure 22.7: versie 22.7R2.4 en eerder
  • Ivanti Policy Secure 22.7: versie 22.7R1.2 en eerder
  • Ivanti Neurons for ZTA gateways 22.7: versie 22.7R2.3 en eerder

Daarnaast is Ivanti Connect Secure 9.1 wél kwetsbaar voor CVE-2025-0283 maar niet voor CVE-2025-0282. Aangezien deze versie van Connect Secure per 31 december 2024 de End-of-Life (EoL) status heeft bereikt, zal Ivanti voor deze versie géén patch uitbrengen.

Oplossingen en tijdelijke mitigaties

Ivanti raadt aan om allereerst gebruik te maken van de Ivanti Integrity Checker Tool (ICT) om een scan uit te voeren op de integriteit van een systeem:

  • Indien de scan geen bijzonderheden oplevert: ga door met het installeren van updates
  • Indien de scan onverhoopt wél aanwijzingen vindt dat het systeem is gecompromitteerd: voer eerst een fabrieksreset uit om ervoor te zorgen dat schadelijke objecten van het systeem worden verwijderd.

Voor Connect Secure heeft Ivanti versie 22.7R2.5 uitgebracht om deze kwetsbaarheden te verhelpen. Wij raden aan om deze update zo spoedig mogelijk te installeren na het uitvoeren van de ICT scan.

Voor Policy Secure en Neurons for ZTA gateways zal Ivanti in een later stadium een update uitbrengen (gepland op 21 januari 2025) aangezien deze systemen in de regel niet rechtstreeks te benaderen zijn via internet en daarom een kleiner risico lopen.

Detectie van mogelijk misbruik

Ivanti raadt aan om gebruik te maken van de Ivanti Integrity Checker Tool (ICT) om te verifiëren of misbruik van de betreffende kwetsbaarheden heeft plaatsgevonden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Ivanti has disclosed a critical vulnerability in Connect Secure and Policy Secure (CVE-2025-0282), allowing an unauthenticated attacker to remotely execute arbitrary code on a vulnerable system. According to Ivanti, this vulnerability has already been exploited on a small scale to compromise Connect Secure systems.

Additionally, Ivanti has addressed a second vulnerability (CVE-2025-0283), which allows an authenticated attacker to escalate their privileges. While these two vulnerabilities could potentially be exploited in tandem to execute arbitrary code with elevated privileges, Ivanti has stated that they have not observed any exploitation of the second vulnerability. This could possible change now that information on the second vulnerability has been published.

Vulnerable versions

The following Ivanti products are affected by both vulnerabilities:

  • Ivanti Connect Secure 22.7: version 22.7R2.4 and earlier
  • Ivanti Policy Secure 22.7: version 22.7R1.2 and earlier
  • Ivanti Neurons for ZTA Gateways 22.7: version 22.7R2.3 and earlier

Additionally, Ivanti Connect Secure 9.1 is vulnerable to CVE-2025-0283 but not to CVE-2025-0282. As this version reached End-of-Life (EOL) status on December 31, 2024, Ivanti will not release a patch for it.

Solutions and workarounds

Ivanti strongly recomments using the Ivanti Integrity Checker Tool (ICT) to verify the integrity of your system.

  • If the ICT scan reports no issues: Proceed with installing updates.
  • If the ICT scan detects compromise: Perform a factory reset to remove any malicious elements from the system before proceeding with the update.

For Connect Secure, Ivanti has released version 22.7R2.5, which addresses these vulnerabilities. It is strongly recommended to install this update as soon as possible after performing an ICT scan.

For Policy Secure and Neurons for ZTA Gateways, Ivanti plans to release updates on January 21, 2025, as these systems are generally not exposed directly to the internet and therefore pose a lower risk.

Detection of possible misuse

Ivanti advises using the Ivanti Integrity Checker Tool (ICT) to verify whether exploitation of these vulnerabilities has occurred.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Authentication bypass in SonicWall SSL-VPN

For English, see below.

Beschrijving

SonicWall heeft updates uitgebracht om een kwetsbaarheid te verhelpen in de SSL-VPN- en SSH-services op diverse SonicOS-gebaseerde firewalls. Deze kwetsbaarheid (CVE-2024-53704) stelt een kwaadwillende in staat om de authenticatie op een kwetsbaar device te omzeilen. Naast deze kwetsbaarheid verhelpen de updates ook diverse andere – minder ernstige – kwetsbaarheden. Voor één van deze kwetsbaarheden (CVE-2024-53706) geldt dat een aanvaller deze kan inzetten om zijn rechten te verhogen naar root nadat authenticatie heeft plaatsgevonden, wat mogelijk in combinatie met de eerdere kwetsbaarheid is te misbruiken om zonder authenticatie root rechten te verkrijgen.

Kwetsbare versies

De kwetsbaarheid bevindt zich in diverse SonicWall-devices. De onderstaande firewall-versies bevatten de kwetsbaarheid:

  • Gen 7.1 firewalls: SonicOS 7.1.1-7058 en ouder
  • TZ80 firewalls: SonicOS 8.0.0-8035 en ouder

Gen 6.5 en 7.0 firewalls bevatten de kwetsbaarheid niet.

Oplossingen en tijdelijke mitigaties

SonicWall heeft updates uitgebracht om deze kwetsbaarheid te verhelpen. Wij raden dan ook aan de nieuwe versies van SonicOS zo spoedig mogelijk te installeren om misbruik ervan te voorkomen. De kwetsbaarheid is verholpen in onderstaande versies van SonicOS:

  • Gen 7.1 firewalls: SonicOS 7.1.3-7015
  • TZ80 firewalls: SonicOS 8.0.0-8037

Hoewel de Gen 6.5 en 7.0 firewalls deze specifieke kwetsbaarheid niet bevatten, heeft SonicWall ook SonicOS-updates uitgebracht voor deze versies (respectievelijk SonicOS 6.5.5.1-6n en 7.0.1-5165) aangezien er wel andere – minder ernstige – kwetsbaarheden in zijn verholpen. Wij raden aan ook bij gebruik van deze firewalls deze updates te installeren.

Detectie van mogelijk misbruik

Er is geen informatie bekend gemaakt over hoe misbruik van deze kwetsbaarheid gedetecteerd kan worden.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

SonicWall has released updates to address a vulnerability in the SSL-VPN and SSH services on various SonicOS-based firewalls. This vulnerability (CVE-2024-53704) allows an attacker to bypass authentication on a vulnerable device. In addition to this issue, the updates also fix several other, less severe vulnerabilities. One of these vulnerabilities (CVE-2024-53706) enables an attacker to escalate privileges to root after authentication, which could potentially be exploited in combination with the previous vulnerability to gain root privileges without prior authentication.

Vulnerable versions

The vulnerability affects various SonicWall devices. The following firewall versions are vulnerable:

  • Gen 7.1 firewalls: SonicOS 7.1.1-7058 and earlier
  • TZ80 firewalls: SonicOS 8.0.0-8035 and earlier

Gen 6.5 and 7.0 firewalls are not affected by this vulnerability.

Solutions and workarounds

SonicWall has released updates to address this vulnerability. It is strongly recommended to install the latest SonicOS versions as soon as possible to prevent exploitation. The vulnerability has been resolved in the following SonicOS versions:

  • Gen 7.1 firewalls: SonicOS 7.1.3-7015
  • TZ80 firewalls: SonicOS 8.0.0-8037

Although Gen 6.5 and 7.0 firewalls are not affected by this specific vulnerability, SonicWall has also released updates for these versions (SonicOS 6.5.5.1-6n and 7.0.1-5165, respectively) to address other, less severe vulnerabilities. We recommend to install these updates as well.

Detection of possible misuse

No information has been disclosed on how to detect exploitation of this vulnerability.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Palo Alto urges to restrict access to PAN-OS management interfaces

 

For English, see below.

Beschrijving

Palo Alto heeft een beveiligingsadvies uitgebracht naar aanleiding van een mogelijke ernstige kwetsbaarheid die zich in de managementinterface van PAN-OS-devices bevindt en waar op dit moment nog weinig details over bekend zijn. Om de kans op misbruik van deze kwetsbaarheid te verkleinen, raadt Palo Alto gebruikers aan om de PAN-OS managementinterface alleen bereikbaar te maken voor vertrouwde en interne IP-adressen.

Volgens Palo Alto vindt er op dit moment nog geen actief misbruik van de kwetsbaarheid plaats.

Kwetsbare versies

Het is op dit moment nog niet duidelijk welke versies van PAN-OS kwetsbaar zijn.

Oplossingen en tijdelijke mitigaties

Als een best practice, zou de managementinterface van PAN-OS-devices niet breed opengesteld moeten zijn richting het internet. Toegang tot de interface zou in principe alleen moeten worden toegestaan vanaf interne IP-adressen.

Palo Alto heeft een overzicht van publiek bereikbare PAN-OS-devices van een organisatie opgenomen in het support-portal. Wij raden dan ook aan om in te loggen op https://support.paloaltonetworks.com/ en vervolgens te kijken of er devices voorzien zijn van de tag PAN-SA-2024-0015 via Products → Assets → All Assets → Remediation Required.

Palo Alto heeft daarnaast specifieke stappen voor het afschermen van de management interface beschreven in een blogartikel. Hierin raadt men aan om:

  • De managementinterface te koppelen aan een gescheiden management VLAN.
  • Gebruik te maken van jump servers om toegang tot de managementinterface te kunnen krijgen.
  • Alleen specifieke beheer IP-adressen toegang te verlenen tot de managementinterface.
  • Alleen ICMP/Ping-, SSH- en HTTPS-verkeer open te stellen op de managementinterface.
  • Het standaard generieke admin-account te verwijderen en te vervangen door losse beheeraccounts voor elke beheerder die toegang moet hebben tot het device (met alleen de rollen toegekend die nodig zijn voor het uitvoeren van beheerwerkzaamheden).

Detectie van mogelijk misbruik

Er zijn nog geen indicaties van mogelijk misbruik bekend.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

Palo Alto has issued a security advisory because of a potentially severe vulnerability within the management interface of PAN-OS devices, of which few details are currently known. To reduce the risk of exploitation, Palo Alto recommends making the PAN-OS management interface accessible only from trusted and internal IP addresses.

According to Palo Alto, there is currently no active exploitation of the vulnerability.

Vulnerable versions

It is not yet clear which versions of PAN-OS are affected.

Solutions and workarounds

As a best practice, the management interface of PAN-OS devices should not be broadly accessible from the internet. Access to the interface should, in principle, only be allowed from internal IP addresses.

Palo Alto has included an overview of publicly accessible PAN-OS-devices belonging to an organization in its support portal. Users are advised to log in at https://support.paloaltonetworks.com/ and check whether any devices are tagged with PAN-SA-2024-0015 via Products Assets All Assets Remediation Required.

Additionally, Palo Alto has outlined specific steps to secure the management interface in a blog post. These include:

  • Connecting the management interface to a separate management VLAN.
  • Using jump servers to access the management interface.
  • Granting access to the management interface only to specific administrative IP addresses.
  • Exposing only ICMP/Ping, SSH, and HTTPS traffic on the management interface.
  • Removing the default generic admin account and replacing it with individual administrative accounts for each administrator who requires access (assigning only the roles necessary for administrative tasks).

Detection of possible misuse

No indications of potential exploitation are currently known.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Critical vulnerability in Fortinet FortiManager (CVE-2024-47575)

For English, see below.

Beschrijving

Fortinet heeft updates uitgebracht voor FortiManager waarmee het een ernstige kwetsbaarheid in dit product verhelpt. Via een kwetsbaarheid in de fgfmd daemon op deze devices kan een aanvaller op afstand en zonder authenticatie ongeautoriseerde code en commando’s uitvoeren. Op die manier kan deze bijvoorbeeld FortiManager-configuraties downloaden, waaronder de configuraties van FortiGate-devices die via deze FortiManager worden beheerd.

Om de kwetsbaarheid uit te kunnen buiten vanaf het internet moet de fgfmd daemon vanaf het internet bereikbaar zijn (in de regel via 541/tcp bij IPv4 en 542/tcp bij IPv6) en moet de aanvaller beschikken over een valide Fortinet-certificaat van een Fortinet-device of Fortinet-VM. De kwetsbaarheid lijkt al te zijn misbruikt door een onbekende actor.

Kwetsbare versies

De kwetsbaarheid is aanwezig in onderstaande versies van FortiManager:

  • FortiManager 7.6: versie 7.6.0
  • FortiManager 7.4: versie 7.4.4 en ouder
  • FortiManager 7.2: versie 7.2.7 en ouder
  • FortiManager 7.0: versie 7.0.12 en ouder
  • FortiManager 6.4: versie 6.4.14 en ouder
  • FortiManager 6.2: versie 6.2.12 en ouder

De kwetsbaarheid bevindt zich ook in identieke versies van FortiManager Cloud (m.u.v. versie 7.6).

Daarnaast geeft Fortinet aan dat ook oudere FortiAnalyzer-devices (1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E) kwetsbaar zijn indien hierop de functie FortiManager on FortiAnalyzer is ingeschakeld via het commando set fmg-status enable.

Oplossingen en tijdelijke mitigaties

Fortinet heeft nieuwe versies van FortiManager uitgebracht om de beschreven kwetsbaarheid te verhelpen. Wij raden aan kwetsbare devices z.s.m. te upgraden naar één van onderstaande versies van FortiManager:

  • FortiManager 7.6: versie 7.6.1 of nieuwer
  • FortiManager 7.4: versie 7.4.5 of nieuwer
  • FortiManager 7.2: versie 7.2.8 of nieuwer
  • FortiManager 7.0: versie 7.0.13 of nieuwer
  • FortiManager 6.4: versie 6.4.15 of nieuwer
  • FortiManager 6.2: versie 6.2.13 of nieuwer

Als het niet mogelijk is om op korte termijn een upgrade uit te voeren, kan via een configuratiewijziging worden voorkomen dat onbekende devices zich registreren via de FortiManager. Maak hiervoor gebruik van een configuratie zoals hieronder:

config system global

    set fgfm-deny-unknown enable

end

Daarnaast kan ervoor gekozen worden om externe toegang tot de fgfmd daemon te blokkeren om de kans op misbruik van de kwetsbaarheid te verkleinen.

Detectie van mogelijk misbruik

Pinewood heeft actieve uitbuiting waargenomen van deze kwetsbaarheid rondom 22 en 23 september 2024. Het is dan ook van groot belang om te controleren of een FortiManager-device al via deze kwetsbaarheid is gecompromitteerd. Voer hiertoe de volgende controles uit op een FortiManager-device:

  • Controleer of onlangs een nieuw device is toegevoegd aan de configuratie. Dit is te herkennen aan de volgende entries die terug te vinden zijn in de FortiManager-logging:
    type=event,subtype=dvm,pri=information,desc=”Device,manager,generic,information,log”, user=”device,…”,msg=”Unregistered device localhost add succeeded” device=”localhost” adom=”FortiManager” session_id=0 operation=”Add device” performed_on=”localhost” changes=”Unregistered device localhost add succeeded

    type=event,subtype=dvm,pri=notice,desc=”Device,Manager,dvm,log,at,notice,level”, user=”System”,userfrom=””,msg=”” adom=”root” session_id=0 operation=”Modify device” performed_on=”localhost” changes=”Edited device settings (SN FMG-VMTM23017412
  • Controleer via de FortiManager WebGUI of hier onverwachte devices in terug te vinden zijn. Bij de nu bekende aanvallen zal een succesvolle aanval te herkennen zijn aan een nieuw FortiManager-device met IP 45.32.41[.]202 en serienummer FMG-VMTM23017412.
  • Controleer of er communicatie heeft plaatsgevonden tussen het FortiManager IP en één of meerdere van onderstaande IP-adressen:45.32.41[.]202
    45.32.63[.]2
    104.238.141[.]143
    158.247.199[.]37
  • Controleer of één van onderstaande bestanden aanwezig is op een device:/tmp/.tm
    /var/tmp/.tm

Incident response

Mocht uw FortiManager device onverhoopt gecompromitteerd zijn via deze aanval, dan raden wij in ieder geval aan om wachtwoorden en secrets in de configuratie van alle devices die via de FortiManager worden beheerd, aan te passen. Denk hierbij aan (deze lijst is niet volledig, dit kan namelijk per device verschillen):

  • VPN Pre-shared keys
  • Admin-, LDAP-, RADIUS-, FSSO-, FortiSwitch-, FortiAP- en HA-wachtwoorden,
  • CSF-sleutels,
  • Certificaten voor GUI, reverse proxy, SSL-inspectie IPS en IPSEC VPN, en
  • SSID Pre-Shared Keys

Let er daarbij op dat bij het gebruik van vertrouwde certificaten niet alleen een nieuw certificaat wordt aangemaakt, maar ook het oude certificaat wordt ingetrokken. Doe navraag bij de Certificate Authority (CA) die het certificaat het uitgegeven hoe dit gedaan kan worden en geef daarbij als reden keyCompromise op zodat de intrekking zeker verspreid wordt.

Het valt niet uit te sluiten valt dat het FortiManager-device via deze kwetsbaarheid volledig gecompromitteerd is. Daarom wordt geadviseerd om het besturingssysteem volledig opnieuw in te richten. Een configuratie backup kan veilig teruggezet worden in een nieuwe installatie. Hierbij moet nog steeds rekening gehouden moet met het advies om de wachtwoorden en secrets uit de configuratie te resetten. Dit kan zowel voor als na het terugzetten van de configuratie in een nieuwe installatie gedaan worden.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Fortinet released updates to resolve a critical vulnerability in FortiManager. The vulnerability is in the fgfmd daemon on these devices and enables an attacker to remotely execute code and commands on the device without prior authentication. This way, an attacker can e.g. download FortiManager configurations such as the configurations of FortiGate appliances managed by the device.

To be able to exploit the vulnerability from the internet, the fgfmd daemon should be accessible to all (via 541/tcp or 542/tcp) and the attacker must possess a valid Fortinet certificate, extracted from a Fortinet device or VM. The vulnerability was already exploited by an unknown actor.

Vulnerable versions

The following versions of FortiManager are impacted by this vulnerability:

  • FortiManager 7.6: version 7.6.0
  • FortiManager 7.4: version 7.4.4 and below
  • FortiManager 7.2: version 7.2.7 and below
  • FortiManager 7.0: version 7.0.12 and below
  • FortiManager 6.4: version 6.4.14 and below
  • FortiManager 6.2: version 6.2.12 and below

 

The vulnerability also exists in cloud versions of FortiManager (except for version 7.6 installations).

In addition, Fortinet indicates that older FortiAnalyzer devices (1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E) may also vulnerable if the function FortiManager on FortiAnalyzer is enabled via the command set fmg-status enable.

Solutions and workarounds

Fortinet released new versions of FortiManager to fix the vulnerability. We recommend upgrading a vulnerable FortiManager device ASAP to one of the FortiManager versions listed below:

  • FortiManager 7.6: version 7.6.1 or above
  • FortiManager 7.4: version 7.4.5 or above
  • FortiManager 7.2: version 7.2.8 or above
  • FortiManager 7.0: version 7.0.13 or above
  • FortiManager 6.4: version 6.4.15 or above
  • FortiManager 6.2: version 6.2.13 or above

If a vulnerable FortiManager device cannot be upgraded in the short term, a configuration change can be applied to the device to prevent unknown devices from registering:

config system global

    set fgfm-deny-unknown enable

end

Alternatively, connections to the fgfmd daemon from external IP addresses can be blocked to lower the risk of exploitation.

Detection of possible misuse

Pinewood has seen active exploitation of the described vulnerability around 22 and 23 September 2024. It is therefore of upmost importance to check if a vulnerable FortiManager device was already compromised through this vulnerability. To do so, execute the following checks on these devices:

  • Check if a new device was recently added to the configuration. The addition of a new device can be found in the FortiManager logging by looking for the following two events:

    type=event,subtype=dvm,pri=information,desc=”Device,manager,generic,information,log”, user=”device,…”,msg=”Unregistered device localhost add succeeded” device=”localhost” adom=”FortiManager” session_id=0 operation=”Add device” performed_on=”localhost” changes=”Unregistered device localhost add succeeded

    type=event,subtype=dvm,pri=notice,desc=”Device,Manager,dvm,log,at,notice,level”, user=”System”,userfrom=””,msg=”” adom=”root” session_id=0 operation=”Modify device” performed_on=”localhost” changes=”Edited device settings (SN FMG-VMTM23017412
  • Check if you can find unknown devices showing up in the FortiManager GUI. The attacks we’ve seen so far all depend on a new FortiManager device added to the configuration with IP 45.32.41[.]202 and serial number FMG-VMTM23017412.
  • Check if you can find any communication between the FortiManager IP and one or more of the IP addresses below:45.32.41[.]202
    45.32.63[.]2
    104.238.141[.]143
    158.247.199[.]37
  • Check if one of the following files exist on a device:/tmp/.tm
    /var/tmp/.tm

Incident Response

Should your FortiManager device be compromised through this attack, we recommend at the very least to change the passwords and secrets in the configuration of all devices managed by the FortiManager. Consider the following (this list is not exhaustive, as it may vary by device):

  • VPN Pre-shared keys
  • Admin, LDAP, RADIUS, FSSO, FortiSwitch, FortiAP, and HA passwords
  • CSF keys
  • Certificates for GUI, reverse proxy, SSL inspection IPS and IPSEC VPN, and
  • SSID Pre-Shared Keys

Note that when using trusted certificates, not only is a new certificate created, but the old certificate is revoked as well. Inquire with the Certificate Authority (CA) that issued the certificate on how this can be done and provide keyCompromise as the reason to make sure that the revocation is effectively disseminated.

It cannot be ruled out that the FortiManager device has been completely compromised via this vulnerability. It is therefore advised to completely reinstall the operating system. A configuration backup can be safely restored to a new installation. When restoring the configuration also consider the advice to reset passwords and secrets from the configuration. This can be done both before and after restoring the configuration in a new installation.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Microsoft Patch Tuesday august 2024

For English, see below.

Samenvatting

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties en om systemen waarop eindgebruikers inloggen te prioriteren.

Beschrijving

Tijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Onder de opgeloste kwetsbaarheden zijn 6 kwetsbaarheden waarvan bekend is dat deze uitgebuit worden. Deze zijn door het CISA toegevoegd aan de ‘Known Exploited Vulnerability’ (KEV) catalogus. Daarnaast zijn er 11 kwetsbaarheden waarvan verwacht wordt dat deze misbruikt kunnen worden.

Hieronder volgt het een overzicht van de 6 kwetsbaarheden waarvan misbruik is gedetecteerd:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Windows Mark of the Web Security Feature Bypass Vulnerability

De Microsoft Project kwetsbaarheid (CVE-2024-38189) raakt met name aan eindgebruikers van Microsoft Project en is afhankelijk van de specifieke macro-instellingen (zie ook de Microsoft FAQ). De impact van de Windows Mark of the Web kwetsbaarheid raakt aan de waarschuwing pop-up die weergegeven wordt bij bestanden die vanaf het internet gedownload zijn. De Windows Scripting kwetsbaarheid vereist dat een gebruiker een malafide website opent in Edge met Internet Explorer mode ingeschakeld. De overige kwetsbaarheden hebben de impact ‘Elevation of Privilege’ waarbij vanuit een gebruiker hogere (SYSTEM) rechten verkregen kunnen worden.

Naast de kwetsbaarheden waarbij misbruik is gedetecteerd, is de analyse van Microsoft dat 11 kwetsbaarheden een grotere kans hebben om in de toekomst misbruikt te worden. Dit zijn de volgende kwetsbaarheden:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

De Windows TCP/IP kwetsbaarheid (CVE-2024-38063) raakt aan de IPv6 stack van Windows en kan leiden tot Remote Code Execution.

Kwetsbare versies

De Microsoft Windows kwetsbaarheden waarvan misbruik bekend is raken aan onderstaande Windows versies. Voor specifieke informatie over de getroffen versies en architecturen verwijzen wij naar de informatie die Microsoft publiceert.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

De Microsoft Project kwetsbaarheid (CVE-2024-38189), die actief misbruikt, wordt raakt de volgende software:

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Oplossingen en tijdelijke mitigaties

Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Raadpleeg de informatie van Microsoft over de specifieke versies die de kwetsbaarheid verhelpen en eventuele (tijdelijk) mitigerende maatregelen.

Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties, zoals Microsoft Project en Edge, die niet altijd onderdeel zijn van de gebruikelijke update procedure. Aanvullend adviseert Pinewood om systemen waarop eindgebruikers (mogen) inloggen, zoals laptops en VDI-omgevingen, te prioriteren.

Meer informatie

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het Pinewood SOC servicedesk is bereikbaar via +31 15 750 1331 en via soc@pinewood.nl.

===== ENGLISH =====

Summary

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Pinewood advises taking desktop applications into account while fixing these vulnerabilities and prioritising systems on which end users log in.

Description

During the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Among the resolved vulnerabilities are 6 vulnerabilities known to be exploited. These have been added to the ‘Known Exploited Vulnerability’ (KEV) catalogue by CISA. In addition, there are 11 vulnerabilities that are expected to be abused.

The following is an overview of the 6 vulnerabilities where misuse has been detected:

  • CVE-2024-38106 Microsoft Windows Kernel Privilege Escalation Vulnerability
  • CVE-2024-38107 Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability
  • CVE-2024-38178 Microsoft Windows Scripting Engine Memory Corruption Vulnerability
  • CVE-2024-38189 Microsoft Project Remote Code Execution Vulnerability
  • CVE-2024-38193 Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation Vulnerability
  • CVE-2024-38213 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability

The Microsoft Project vulnerability (CVE-2024-38189) affects Microsoft Project end-users and depends on the specific macro settings (see also the Microsoft FAQ). The impact of the Windows SmartScreen vulnerability is a ‘security feature bypass’ that affects the warning pop-up displayed for files downloaded from the Internet. The other vulnerabilities have the impact ‘Elevation of Privilege’ where higher (SYSTEM) privileges can be obtained from a user.

Besides the vulnerabilities where abuse has been detected, Microsoft’s analysis is that 11 vulnerabilities are more likely to be exploited in the future. These are the following vulnerabilities:

  • CVE-2024-38063 Windows TCP/IP Remote Code Execution Vulnerability
  • CVE-2024-38125 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38133 Windows Kernel Elevation of Privilege Vulnerability
  • CVE-2024-38141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
  • CVE-2024-38144 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability
  • CVE-2024-38147 Microsoft DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38148 Windows Secure Channel Denial of Service Vulnerability
  • CVE-2024-38150 Windows DWM Core Library Elevation of Privilege Vulnerability
  • CVE-2024-38163 Windows Update Stack Elevation of Privilege Vulnerability
  • CVE-2024-38196 Windows Common Log File System Driver Elevation of Privilege Vulnerability
  • CVE-2024-38198 Windows Print Spooler Elevation of Privilege Vulnerability

The Windows TCP/IP vulnerability (CVE-2024-38063) affects Windows’ IPv6 stack and can lead to Remote Code Execution.

Vulnerable versions

The Microsoft Windows vulnerabilities known to be exploited affect the Windows versions listed below. For specific information on the affected versions and architectures, please refer to the information published by Microsoft.

  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

The Microsoft Project vulnerability (CVE-2024-38189), which is being actively exploited, affects the following software

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office 2019
  • Microsoft Office LTSC 2021
  • Microsoft Project 2016

Solutions and workarounds

Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Refer to Microsoft’s information on the specific versions that fix the vulnerability and any (temporary) mitigating measures.

Pinewood advises to take into account desktop applications, such as Microsoft Project, which are not always part of the usual update procedure while fixing these vulnerabilities. Additionally, Pinewood recommends prioritising systems on which end users (may) log in, such as laptops and VDI environments.

More information

https://msrc.microsoft.com/update-guide/releaseNote/2024-Aug

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Cisco Secure Email Gateway: Remote Code Execution due to Arbitrary File Write Vulnerability

For English, see below.

Beschrijving

Op 17 juli 2024 heeft Cisco bekend gemaakt dat er een kritieke kwetsbaarheid in Cisco Secure Email Gateway is ontdekt. De kwetsbaarheid, bekend als CVE-2024-20401, stelt een niet-geauthenticeerde aanvaller in staat om vanaf het internet willekeurige bestanden op het onderliggende besturingssysteem te overschrijven. Dit is mogelijk door de onjuiste verwerking van e-mailbijlagen wanneer file analysis of content filter zijn ingeschakeld. De aanvaller heeft vervolgens volledige controle over het systeem en kan daarmee bijvoorbeeld gebruikers met rootrechten toevoegen, de configuratie wijzigen en willekeurige code uitvoeren.

Op dit moment is er nog geen proof-of-concept code of exploit beschikbaar en lijkt de kwetsbaarheid niet actief misbruikt te worden. Daar kan op korte termijn echter verandering in komen.

Kwetsbare versies

Een Cisco Secure Email Gateway systeem is kwetsbaar als aan de volgende twee voorwaarden is voldaan:

  • De versie van Content Scanner Tools is vóór 23.3.0.4823.
  • Óf de File Analysis feature van Cisco Advanced Malware Protection (AMP) óf de Content Filter feature is ingeschakeld en toegewezen aan een inkomende mail policy.

Om vast te stellen of uw versie van Content Scanner Tools kwetsbaar is, kan het contentscannerstatus commando in de CLI van het Cisco-systeem worden gebruikt. Zie hieronder een voorbeeld van een kwetsbare versie van Content Scanner Tools:

cisco-esa> contentscannerstatus

Component              Version                  Last Updated

Content Scanner Tools  23.1.0.4619.13.0.1500022 Never updated

U kunt controleren of File Analysis ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Advanced Malware Protection te gaan in de management interface. Bekijk voor elke mail policy of Enable File Analysis aangevinkt is. Als dit het geval is, staat de feature ingeschakeld.

U kunt controleren of Content Filter ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Content Filters te gaan in de management interface. Als de Content Filters kolom iets anders dan ‘disabled’ bevat, staat de feature ingeschakeld.

Oplossingen en tijdelijke mitigaties

Er is geen tijdelijke oplossing die deze kwetsbaarheid adresseert.

Om de kwetsbaarheid te verhelpen kan het gehele systeem naar Cisco AsyncOS versie 15.5.1-055 of later geüpdatet worden.

Daarnaast is het ook mogelijk om Content Scanner Tools los te updaten, zodat niet het gehele systeem geüpgraded en gereboot hoeft te worden. Dit kan handmatig via de CLI van het systeem met het contentscannerupdate commando:

cisco-esa> contentscannerupdate

Requesting check for new Content Scanner updates.

Als Content Scanner Tools niet automatisch al geüpdatet was, adviseren we daarnaast te overwegen om van de Automatic Update feature gebruik te maken. Dit kan onder Security Services > Service Updates > Edit Update Settings door het vinkje bij Automatic Updates aan te zetten.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Description

On July 17, 2024 Cisco announced the discovery of a critical vulnerability in Cisco Secure Email Gateway. The vulnerability, known as CVE-2024-20401, allows an unauthenticated remote attacker to overwrite arbitrary files on the underlying operating system. This is possible due to the improper processing of e-mail attachments when File Analysis or Content Filter are enabled. The attacker then has full control over the system and can, for example, add users with root privileges, change the configuration and execute arbitrary code.

Currently, there is no proof-of-concept code or exploit available and the vulnerability does not appear to be actively exploited.

Vulnerable versions

A Cisco Secure Email Gateway system is vulnerable if the following two conditions are met:

  • The version of Content Scanner Tools is before 23.3.0.4823.
  • Either the File Analysis feature of Cisco Advanced Malware Protection (AMP) or the Content Filter feature is enabled and assigned to an incoming mail policy.

To determine if your version of Content Scanner Tools is vulnerable, the contentscannerstatus command in the Cisco system CLI can be used. See below for an example of a vulnerable version of Content Scanner Tools:

cisco-esa> contentscannerstatus

Component              Version                  Last Updated

Content Scanner Tools  23.1.0.4619.13.0.1500022 Never updated

You can verify that File Analysis is enabled by going to Mail Policies > Incoming Mail Policies > Advanced Malware Protection in the management interface. For each mail policy, see if Enable File Analysis is checked. If it is, the feature is enabled.

You can verify that Content Filter is enabled by going to Mail Policies > Incoming Mail Policies > Content Filters in the management interface. If the Content Filters column contains anything other than disabled, the feature is enabled.

Solutions and workarounds

There is no temporary fix that addresses this vulnerability.

To fix the vulnerability, the entire system can be updated to Cisco AsyncOS version 15.5.1-055 and later.

In addition, it is also possible to update Content Scanner Tools separately so that the entire system does not have to be upgraded and rebooted. This can be done manually through the system’s CLI with the contentscannerupdate command:

cisco-esa> contentscannerupdate

Requesting check for new Content Scanner updates.

Additionally, if Content Scanner Tools was not already automatically updated, we recommend considering using the Automatic Update feature. This can be done under Security Services > Service Updates > Edit Update Settings by checking Automatic Updates.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Vulnerability in OpenSSH server (CVE-2024-6387)

For English, see below.

Beschrijving

Op 1 juli 2024 is een kwetsbaarheid bekend gemaakt in OpenSSH server wanneer dit gebruikt wordt op glibc-gebaseerde Linux systemen. Deze kwetsbaarheid wordt regreSSHion genoemd (CVE-2024-6387). Het gaat om een raceconditie waarmee een ongeauthenticeerde aanvaller code kan uitvoeren met de hoogste (root) rechten op een systeem. Succesvol misbruik van deze kwetsbaarheid is complex omdat een individuele aanval een lage kans van slagen heeft. Daardoor moet een kwaadwillende over een langere periode aanvallen uitvoeren om deze kans te vergroten.

Er is een Proof-of-Concept (PoC) bekend gemaakt waarmee misbruik in een lab-omgeving is aangetoond. Afhankelijk van de omstandigheden en gebruikte OpenSSH Server versie duurt het tussen de 6 uur en een week om een succesvolle aanval uit te voeren. De verwachting is dat succesvol misbruik op een 64-bit besturingssysteem langer duurt.

De verwachting is dat het uitvoeren grootschalige aanvallen lastig is, met name omdat de aanval over een langere tijd uitgevoerd moet worden om een redelijke kans van slagen te hebben. Het is niet uitgesloten dat volgende versies van de aanvalscode deze kans vergroten en grootschalige aanvallen haalbaar worden.

Het Nederlandse NCSC heeft het risico van deze kwetsbaarheid op M/H (kans/impact) ingeschat.

Kwetsbare versies

Onderstaande lijst van OpenSSH Server versies is kwetsbaar als deze gebruikt wordt op een glibc-gebaseerd Linux systeem. Omdat er naast OpenSSH Server ook voorwaarden zijn in besturingssysteem-instellingen is het advies de security melding van de leverancier van het besturingssysteem na te lezen. Een aantal hiervan staan vermeld onder ‘meer informatie’.

  • OpenSSH Server < 4.4p1 (zie CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Houd er rekening mee dat hardware-apparaten Linux en/of OpenSSH Server als component kunnen gebruiken, wat mogelijk niet direct duidelijk is. Het is daarom aan te raden om de beveiligingsberichten van de leverancier van het apparaat in de gaten te houden, met name voor apparaten die SSH aan het internet blootstellen.

Oplossingen en tijdelijke mitigaties

De kwetsbaarheid is opgelost in de nieuwste versie van OpenSSH Server:

  • OpenSSH Server 9.8

Er is een tijdelijke oplossing beschikbaar door het aanpassen van de OpenSSH Server instelling ‘LoginGraceTime 0‘ en daarna de OpenSSH Server te herstarten.

De oplossing wordt met terugwerkende kracht uitgebracht voor oudere versies door verschillende softwareleveranciers. Zie de beveiligingsmelding van de leverancier van het besturingssysteem voor meer informatie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

On 1 July 2024, a vulnerability was disclosed in OpenSSH server when used on glibc-based Linux systems. This vulnerability is called regreSSHion (CVE-2024-6387). It involves a race condition that allows an unauthenticated attacker to execute code with the highest (root) privileges on a system. Successful exploitation of this vulnerability is complex because an individual attack has a low chance of success. As a result, a malicious person has to perform attacks over a longer period of time to increase this probability.

A Proof-of-Concept (PoC) has been disclosed that demonstrated abuse in a lab environment. Depending on the circumstances and OpenSSH Server version used, it takes between 6 hours and a week to carry out a successful attack. Successful exploitation on a 64-bit operating system is expected to take longer.

Performing large-scale attacks is expected to be difficult, especially as the attack must be performed over a longer period of time to have a reasonable chance of success. It cannot be ruled out that subsequent versions of the attack code will increase this chance and make large-scale attacks feasible.

The Dutch NCSC has estimated the risk of this vulnerability at M/H (probability/impact).

Vulnerable versions

The below list of OpenSSH Server versions is in vulnerable if used on a glibc-based Linux system. As there are conditions in operating system settings besides OpenSSH Server, it is advisable to check the security notice from the operating system vendor. Some of these are listed under ‘more information’.

  • OpenSSH Server < 4.4p1 (see CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Please note that hardware appliances may utilise Linux and/or OpenSSH Server as a component, which may not be immediately apparent. Therefore, it is recommended to monitor security notices from the vendor of the appliance, particularly for appliances that have SSH exposed to the internet.

Solutions and workarounds

The vulnerability has been fixed in the latest version of OpenSSH Server:

  • OpenSSH Server 9.8

A temporary fix is available by modifying the OpenSSH Server setting ‘LoginGraceTime 0‘ and then restarting the OpenSSH Server.

The fix is being retroactively released for older versions by various software vendors. See the operating system vendor’s security notice for more information.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Information disclosure vulnerability in Serv-U (CVE-2024-28995)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP en Serv-U MFT) die kwaadwillenden kunnen misbruiken voor het verkrijgen van gevoelige informatie. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van bestanden op het device in te zien.

Er is nog geen actieve uitbuiting van deze kwetsbaarheid bekend, maar gezien de aard van de kwetsbaarheid lijkt uitbuiting triviaal en achten wij de kans op uitbuiting ervan dan ook aannemelijk. Hoewel de kwetsbaarheid zelf geen mogelijkheid biedt tot het verkrijgen van toegang tot het systeem, kan een aanvaller de buitgemaakte informatie mogelijk wel misbruiken om dit doel alsnog te bereiken.

Kwetsbare versies

De kwetsbaarheid bevindt zich in Serv-U 15.4.2 Hotfix 1 (HF1) en alle versies daarvoor.

Oplossingen en tijdelijke mitigaties

SolarWinds heeft Serv-U 15.4.2 Hotfix 2 (HF2) uitgebracht om de kwetsbaarheid te verhelpen. Wij raden aan deze update zo spoedig mogelijk te installeren op kwetsbare systemen.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

SolarWinds has reported a critical vulnerability (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP and Serv-U MFT) that can be exploited by miscreants to collect sensitive information. The vulnerability is a so-called “path traversal” vulnerability that enables an attacker to gain access to random files on the device.

At the moment, no active exploitation of this vulnerability is known. However, given the nature of the vulnerability, we assess active exploitation of it to be likely. Although the vulnerability in itself cannot be exploited to gain access to a vulnerable device, the information that might be collected by exploiting this vulnerability can potentially be used to gain this access.

Vulnerable versions

The vulnerability is reported in Serv-U 15.4.2 Hotfix 1 (HF1) and older versions.

Solutions and workarounds

SolarWinds released Serv-U 15.4.2 Hotfix 2 (HF2) to resolve this issue. We advise to install this update ASAP.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl

Pinewood Security Bulletin – Check Point fixes actively exploited information disclosure vulnerability (CVE-2024-24919)

For English, see below.

Beschrijving

Er bevindt zich een kwetsbaarheid in Check Point Gateways die misbruikt kan worden op het moment dat een dergelijke gateway gebruikmaakt van Remote Access VPN of Mobile Access. Ook gateways met IPsec VPN zijn in principe kwetsbaar, maar dit is niet het geval indien deze functionaliteit alleen wordt ingezet voor site-to-site VPN-verbindingen. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van willekeurige bestanden op het device in te zien. Als voorbeeld noemt Check Point de mogelijkheid om informatie te achterhalen over het LDAP-account waarvan een gateway gebruikmaakt voor een verbinding met een Windows Domain Controller in het netwerk.

Aanvallers maken vermoedelijk sinds eind vorige maand misbruik van de kwetsbaarheid waarbij de aanvallen zich volgens Check Point vooral richten op devices die gebruikmaken van local accounts met wachtwoord-gebaseerde authenticatie. De aanvallers lijken daarbij eerst misbruik te maken van de mogelijkheid om de inloggegevens van deze accounts te bemachtigen om deze informatie vervolgens te misbruiken om zich tegen het device te authenticeren. Details over de kwetsbaarheid, en hoe deze misbruikt kan worden voor het verkrijgen van toegang tot informatie, zijn inmiddels publiek gemaakt.

Kwetsbare versies

De kwetsbaarheden zijn aanwezig in releases R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x en R81.20.

Oplossingen en tijdelijke mitigaties

Check Point heeft fixes uitgebracht voor diverse releases van de Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

Zie het FAQ voor CVE-2024-24919 voor links naar alle fixes (inclusief fixes voor Quantum Maestro, Quantum Scalable Chassis en Quantum Spark Appliances).

Naast het installeren van de fixes is het advies om ook lokale accounts waarvan geen gebruikgemaakt wordt, uit te schakelen en om de wachtwoorden van alle lokale accounts – inclusief het LDAP-account – te wijzigen. Daarnaast is het van belang om voor authenticatie niet te vertrouwen op alleen wachtwoorden, maar om multifactor-authenticatie af te dwingen.

Detectie van mogelijk misbruik

Indien de gateway kwetsbaar is geweest, raadt Check Point aan een controle uit te voeren op wachtwoord-gebaseerde inlogactiviteit op het Mobile Access blade over de afgelopen 3 maanden. Dit kan door binnen SmartConsole te kiezen voor Logs & Monitor > Logs en daar de query action:”Log In” AND auth_method:Password AND blade:”Mobile Access” uit te voeren.

Meer informatie

Managed Security Services (MSS) klanten

Als u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden.

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

Check Point reported a vulnerability in Check Point gateways that can be exploited if such a gateway is configured with Remote Access VPN or Mobile Access. Gateways using the IPsec VPN functionality are also vulnerable, but only if this functionality is used for other purposes than site-to-site VPN connections only. The vulnerability is a so-called “path traversal” vulnerability, allowing an attacker to view the contents of random files on the device. As an example, Check Point mentions the ability to retrieve information on the LDAP account configured on the device to connect to an internal Windows Domain Controller on the network.

Attackers seem to be exploiting the vulnerability since the end of last month whereby the attackers seem to focus on systems using local accounts with password-only authentication. In the attacks, first the exploit is used to gain information on local accounts and then this information is used to authenticate to the device. Details on the vulnerability, as well as examples on how to abuse it to access information on the device, were already published.

Vulnerable versions

The vulnerabilities are present in R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x and R81.20.

Solutions and workarounds

Check Point released the following fixes for Quantum Security Gateway:

R81.20:

  • R81.20 Jumbo Hotfix Accumulator Take 54
  • R81.20 Jumbo Hotfix Accumulator Take 41
  • R81.20 Jumbo Hotfix Accumulator Take 53
  • R81.20 Jumbo Hotfix Accumulator Take 26

R81.10:

  • R81.10 Jumbo Hotfix Accumulator Take 141
  • R81.10 Jumbo Hotfix Accumulator Take 139
  • R81.10 Jumbo Hotfix Accumulator Take 130
  • R81.10 Jumbo Hotfix Accumulator Take 110

R81:

  • R81 Jumbo Hotfix Accumulator Take 92

R80.40:

  • R80.40 Jumbo Hotfix Accumulator Take 211
  • R80.40 Jumbo Hotfix Accumulator Take 206
  • R80.40 Jumbo Hotfix Accumulator Take 198
  • R80.40 Jumbo Hotfix Accumulator Take 197

See FAQ for CVE-2024-24919 for links to all fixes (including fixes for Quantum Maestro, Quantum Scalable Chassis and Quantum Spark Appliances).

Next to installing these fixes, local accounts that are not in use should be disabled. Passwords for all local accounts, including the LDAP account, should be changed. In addition, authentication to the device should not rely on passwords only, but should be multifactor based.

Detection of possible misuse

If a gateway was found vulnerable, Check Point advises to run checks on this gateway for any password based authentication activity on the Mobile Access blade over the past 3 months. This can be done by selecting Logs & Monitor > Logs within the SmartConsole UI and then issuing the query action:”Log In” AND auth_method:Password AND blade:”Mobile Access”.

More information

Managed Security Services (MSS) customers

If you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities.

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl