|
|
|
|
|
For English, see below.
BeschrijvingFortinet heeft updates uitgebracht voor FortiManager waarmee het een ernstige kwetsbaarheid in dit product verhelpt. Via een kwetsbaarheid in de fgfmd daemon op deze devices kan een aanvaller op afstand en zonder authenticatie ongeautoriseerde code en commando’s uitvoeren. Op die manier kan deze bijvoorbeeld FortiManager-configuraties downloaden, waaronder de configuraties van FortiGate-devices die via deze FortiManager worden beheerd. Om de kwetsbaarheid uit te kunnen buiten vanaf het internet moet de fgfmd daemon vanaf het internet bereikbaar zijn (in de regel via 541/tcp bij IPv4 en 542/tcp bij IPv6) en moet de aanvaller beschikken over een valide Fortinet-certificaat van een Fortinet-device of Fortinet-VM. De kwetsbaarheid lijkt al te zijn misbruikt door een onbekende actor. Kwetsbare versiesDe kwetsbaarheid is aanwezig in onderstaande versies van FortiManager:
De kwetsbaarheid bevindt zich ook in identieke versies van FortiManager Cloud (m.u.v. versie 7.6). Daarnaast geeft Fortinet aan dat ook oudere FortiAnalyzer-devices (1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E) kwetsbaar zijn indien hierop de functie FortiManager on FortiAnalyzer is ingeschakeld via het commando set fmg-status enable. Oplossingen en tijdelijke mitigatiesFortinet heeft nieuwe versies van FortiManager uitgebracht om de beschreven kwetsbaarheid te verhelpen. Wij raden aan kwetsbare devices z.s.m. te upgraden naar één van onderstaande versies van FortiManager:
Als het niet mogelijk is om op korte termijn een upgrade uit te voeren, kan via een configuratiewijziging worden voorkomen dat onbekende devices zich registreren via de FortiManager. Maak hiervoor gebruik van een configuratie zoals hieronder: config system global set fgfm-deny-unknown enable end Daarnaast kan ervoor gekozen worden om externe toegang tot de fgfmd daemon te blokkeren om de kans op misbruik van de kwetsbaarheid te verkleinen. Detectie van mogelijk misbruikPinewood heeft actieve uitbuiting waargenomen van deze kwetsbaarheid rondom 22 en 23 september 2024. Het is dan ook van groot belang om te controleren of een FortiManager-device al via deze kwetsbaarheid is gecompromitteerd. Voer hiertoe de volgende controles uit op een FortiManager-device:
Incident responseMocht uw FortiManager device onverhoopt gecompromitteerd zijn via deze aanval, dan raden wij in ieder geval aan om wachtwoorden en secrets in de configuratie van alle devices die via de FortiManager worden beheerd, aan te passen. Denk hierbij aan (deze lijst is niet volledig, dit kan namelijk per device verschillen):
Let er daarbij op dat bij het gebruik van vertrouwde certificaten niet alleen een nieuw certificaat wordt aangemaakt, maar ook het oude certificaat wordt ingetrokken. Doe navraag bij de Certificate Authority (CA) die het certificaat het uitgegeven hoe dit gedaan kan worden en geef daarbij als reden keyCompromise op zodat de intrekking zeker verspreid wordt. Het valt niet uit te sluiten valt dat het FortiManager-device via deze kwetsbaarheid volledig gecompromitteerd is. Daarom wordt geadviseerd om het besturingssysteem volledig opnieuw in te richten. Een configuratie backup kan veilig teruggezet worden in een nieuwe installatie. Hierbij moet nog steeds rekening gehouden moet met het advies om de wachtwoorden en secrets uit de configuratie te resetten. Dit kan zowel voor als na het terugzetten van de configuratie in een nieuwe installatie gedaan worden. Meer informatieManaged Security Services (MSS) klantenAls u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden. VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionFortinet released updates to resolve a critical vulnerability in FortiManager. The vulnerability is in the fgfmd daemon on these devices and enables an attacker to remotely execute code and commands on the device without prior authentication. This way, an attacker can e.g. download FortiManager configurations such as the configurations of FortiGate appliances managed by the device. To be able to exploit the vulnerability from the internet, the fgfmd daemon should be accessible to all (via 541/tcp or 542/tcp) and the attacker must possess a valid Fortinet certificate, extracted from a Fortinet device or VM. The vulnerability was already exploited by an unknown actor. Vulnerable versionsThe following versions of FortiManager are impacted by this vulnerability:
The vulnerability also exists in cloud versions of FortiManager (except for version 7.6 installations). In addition, Fortinet indicates that older FortiAnalyzer devices (1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E) may also vulnerable if the function FortiManager on FortiAnalyzer is enabled via the command set fmg-status enable. Solutions and workaroundsFortinet released new versions of FortiManager to fix the vulnerability. We recommend upgrading a vulnerable FortiManager device ASAP to one of the FortiManager versions listed below:
If a vulnerable FortiManager device cannot be upgraded in the short term, a configuration change can be applied to the device to prevent unknown devices from registering: config system global set fgfm-deny-unknown enable end Alternatively, connections to the fgfmd daemon from external IP addresses can be blocked to lower the risk of exploitation. Detection of possible misusePinewood has seen active exploitation of the described vulnerability around 22 and 23 September 2024. It is therefore of upmost importance to check if a vulnerable FortiManager device was already compromised through this vulnerability. To do so, execute the following checks on these devices:
Incident ResponseShould your FortiManager device be compromised through this attack, we recommend at the very least to change the passwords and secrets in the configuration of all devices managed by the FortiManager. Consider the following (this list is not exhaustive, as it may vary by device):
Note that when using trusted certificates, not only is a new certificate created, but the old certificate is revoked as well. Inquire with the Certificate Authority (CA) that issued the certificate on how this can be done and provide keyCompromise as the reason to make sure that the revocation is effectively disseminated. It cannot be ruled out that the FortiManager device has been completely compromised via this vulnerability. It is therefore advised to completely reinstall the operating system. A configuration backup can be safely restored to a new installation. When restoring the configuration also consider the advice to reset passwords and secrets from the configuration. This can be done both before and after restoring the configuration in a new installation. More informationManaged Security Services (MSS) customersIf you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities. QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |
For English, see below.
SamenvattingTijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Microsoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties en om systemen waarop eindgebruikers inloggen te prioriteren. BeschrijvingTijdens de Microsoft Patch Tuesday van augustus 2024 zijn 90 Microsoft CVE’s gepubliceerd, waaronder meerdere kritieke kwetsbaarheden. Onder de opgeloste kwetsbaarheden zijn 6 kwetsbaarheden waarvan bekend is dat deze uitgebuit worden. Deze zijn door het CISA toegevoegd aan de ‘Known Exploited Vulnerability’ (KEV) catalogus. Daarnaast zijn er 11 kwetsbaarheden waarvan verwacht wordt dat deze misbruikt kunnen worden. Hieronder volgt het een overzicht van de 6 kwetsbaarheden waarvan misbruik is gedetecteerd:
De Microsoft Project kwetsbaarheid (CVE-2024-38189) raakt met name aan eindgebruikers van Microsoft Project en is afhankelijk van de specifieke macro-instellingen (zie ook de Microsoft FAQ). De impact van de Windows Mark of the Web kwetsbaarheid raakt aan de waarschuwing pop-up die weergegeven wordt bij bestanden die vanaf het internet gedownload zijn. De Windows Scripting kwetsbaarheid vereist dat een gebruiker een malafide website opent in Edge met Internet Explorer mode ingeschakeld. De overige kwetsbaarheden hebben de impact ‘Elevation of Privilege’ waarbij vanuit een gebruiker hogere (SYSTEM) rechten verkregen kunnen worden. Naast de kwetsbaarheden waarbij misbruik is gedetecteerd, is de analyse van Microsoft dat 11 kwetsbaarheden een grotere kans hebben om in de toekomst misbruikt te worden. Dit zijn de volgende kwetsbaarheden:
De Windows TCP/IP kwetsbaarheid (CVE-2024-38063) raakt aan de IPv6 stack van Windows en kan leiden tot Remote Code Execution. Kwetsbare versiesDe Microsoft Windows kwetsbaarheden waarvan misbruik bekend is raken aan onderstaande Windows versies. Voor specifieke informatie over de getroffen versies en architecturen verwijzen wij naar de informatie die Microsoft publiceert.
De Microsoft Project kwetsbaarheid (CVE-2024-38189), die actief misbruikt, wordt raakt de volgende software:
Oplossingen en tijdelijke mitigatiesMicrosoft adviseert om de beveiligingsupdates van Patch Tuesday te installeren om deze kwetsbaarheden te verhelpen. Raadpleeg de informatie van Microsoft over de specifieke versies die de kwetsbaarheid verhelpen en eventuele (tijdelijk) mitigerende maatregelen. Pinewood adviseert om tijdens het oplossen van deze kwetsbaarheden rekening te houden met desktopapplicaties, zoals Microsoft Project en Edge, die niet altijd onderdeel zijn van de gebruikelijke update procedure. Aanvullend adviseert Pinewood om systemen waarop eindgebruikers (mogen) inloggen, zoals laptops en VDI-omgevingen, te prioriteren. Meer informatiehttps://msrc.microsoft.com/update-guide/releaseNote/2024-Aug VragenVoor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het Pinewood SOC servicedesk is bereikbaar via +31 15 750 1331 en via soc@pinewood.nl. ===== ENGLISH ===== SummaryDuring the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Microsoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Pinewood advises taking desktop applications into account while fixing these vulnerabilities and prioritising systems on which end users log in. DescriptionDuring the August 2024 Microsoft Patch Tuesday, 90 Microsoft CVEs were published, including several critical vulnerabilities. Among the resolved vulnerabilities are 6 vulnerabilities known to be exploited. These have been added to the ‘Known Exploited Vulnerability’ (KEV) catalogue by CISA. In addition, there are 11 vulnerabilities that are expected to be abused. The following is an overview of the 6 vulnerabilities where misuse has been detected:
The Microsoft Project vulnerability (CVE-2024-38189) affects Microsoft Project end-users and depends on the specific macro settings (see also the Microsoft FAQ). The impact of the Windows SmartScreen vulnerability is a ‘security feature bypass’ that affects the warning pop-up displayed for files downloaded from the Internet. The other vulnerabilities have the impact ‘Elevation of Privilege’ where higher (SYSTEM) privileges can be obtained from a user. Besides the vulnerabilities where abuse has been detected, Microsoft’s analysis is that 11 vulnerabilities are more likely to be exploited in the future. These are the following vulnerabilities:
The Windows TCP/IP vulnerability (CVE-2024-38063) affects Windows’ IPv6 stack and can lead to Remote Code Execution. Vulnerable versionsThe Microsoft Windows vulnerabilities known to be exploited affect the Windows versions listed below. For specific information on the affected versions and architectures, please refer to the information published by Microsoft.
The Microsoft Project vulnerability (CVE-2024-38189), which is being actively exploited, affects the following software
Solutions and workaroundsMicrosoft recommends installing Patch Tuesday security updates to fix these vulnerabilities. Refer to Microsoft’s information on the specific versions that fix the vulnerability and any (temporary) mitigating measures. Pinewood advises to take into account desktop applications, such as Microsoft Project, which are not always part of the usual update procedure while fixing these vulnerabilities. Additionally, Pinewood recommends prioritising systems on which end users (may) log in, such as laptops and VDI environments. More informationhttps://msrc.microsoft.com/update-guide/releaseNote/2024-Aug QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via soc@pinewood.nl. |
For English, see below.
BeschrijvingOp 17 juli 2024 heeft Cisco bekend gemaakt dat er een kritieke kwetsbaarheid in Cisco Secure Email Gateway is ontdekt. De kwetsbaarheid, bekend als CVE-2024-20401, stelt een niet-geauthenticeerde aanvaller in staat om vanaf het internet willekeurige bestanden op het onderliggende besturingssysteem te overschrijven. Dit is mogelijk door de onjuiste verwerking van e-mailbijlagen wanneer file analysis of content filter zijn ingeschakeld. De aanvaller heeft vervolgens volledige controle over het systeem en kan daarmee bijvoorbeeld gebruikers met rootrechten toevoegen, de configuratie wijzigen en willekeurige code uitvoeren. Op dit moment is er nog geen proof-of-concept code of exploit beschikbaar en lijkt de kwetsbaarheid niet actief misbruikt te worden. Daar kan op korte termijn echter verandering in komen. Kwetsbare versiesEen Cisco Secure Email Gateway systeem is kwetsbaar als aan de volgende twee voorwaarden is voldaan:
Om vast te stellen of uw versie van Content Scanner Tools kwetsbaar is, kan het contentscannerstatus commando in de CLI van het Cisco-systeem worden gebruikt. Zie hieronder een voorbeeld van een kwetsbare versie van Content Scanner Tools: cisco-esa> contentscannerstatus Component Version Last Updated Content Scanner Tools 23.1.0.4619.13.0.1500022 Never updated U kunt controleren of File Analysis ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Advanced Malware Protection te gaan in de management interface. Bekijk voor elke mail policy of Enable File Analysis aangevinkt is. Als dit het geval is, staat de feature ingeschakeld. U kunt controleren of Content Filter ingeschakeld is door naar Mail Policies > Incoming Mail Policies > Content Filters te gaan in de management interface. Als de Content Filters kolom iets anders dan ‘disabled’ bevat, staat de feature ingeschakeld. Oplossingen en tijdelijke mitigatiesEr is geen tijdelijke oplossing die deze kwetsbaarheid adresseert. Om de kwetsbaarheid te verhelpen kan het gehele systeem naar Cisco AsyncOS versie 15.5.1-055 of later geüpdatet worden. Daarnaast is het ook mogelijk om Content Scanner Tools los te updaten, zodat niet het gehele systeem geüpgraded en gereboot hoeft te worden. Dit kan handmatig via de CLI van het systeem met het contentscannerupdate commando: cisco-esa> contentscannerupdate Requesting check for new Content Scanner updates. Als Content Scanner Tools niet automatisch al geüpdatet was, adviseren we daarnaast te overwegen om van de Automatic Update feature gebruik te maken. Dit kan onder Security Services > Service Updates > Edit Update Settings door het vinkje bij Automatic Updates aan te zetten. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl. ===== ENGLISH ===== DescriptionOn July 17, 2024 Cisco announced the discovery of a critical vulnerability in Cisco Secure Email Gateway. The vulnerability, known as CVE-2024-20401, allows an unauthenticated remote attacker to overwrite arbitrary files on the underlying operating system. This is possible due to the improper processing of e-mail attachments when File Analysis or Content Filter are enabled. The attacker then has full control over the system and can, for example, add users with root privileges, change the configuration and execute arbitrary code. Currently, there is no proof-of-concept code or exploit available and the vulnerability does not appear to be actively exploited. Vulnerable versionsA Cisco Secure Email Gateway system is vulnerable if the following two conditions are met:
To determine if your version of Content Scanner Tools is vulnerable, the contentscannerstatus command in the Cisco system CLI can be used. See below for an example of a vulnerable version of Content Scanner Tools: cisco-esa> contentscannerstatus Component Version Last Updated Content Scanner Tools 23.1.0.4619.13.0.1500022 Never updated You can verify that File Analysis is enabled by going to Mail Policies > Incoming Mail Policies > Advanced Malware Protection in the management interface. For each mail policy, see if Enable File Analysis is checked. If it is, the feature is enabled. You can verify that Content Filter is enabled by going to Mail Policies > Incoming Mail Policies > Content Filters in the management interface. If the Content Filters column contains anything other than disabled, the feature is enabled. Solutions and workaroundsThere is no temporary fix that addresses this vulnerability. To fix the vulnerability, the entire system can be updated to Cisco AsyncOS version 15.5.1-055 and later. In addition, it is also possible to update Content Scanner Tools separately so that the entire system does not have to be upgraded and rebooted. This can be done manually through the system’s CLI with the contentscannerupdate command: cisco-esa> contentscannerupdate Requesting check for new Content Scanner updates. Additionally, if Content Scanner Tools was not already automatically updated, we recommend considering using the Automatic Update feature. This can be done under Security Services > Service Updates > Edit Update Settings by checking Automatic Updates. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |
For English, see below.
BeschrijvingOp 1 juli 2024 is een kwetsbaarheid bekend gemaakt in OpenSSH server wanneer dit gebruikt wordt op glibc-gebaseerde Linux systemen. Deze kwetsbaarheid wordt regreSSHion genoemd (CVE-2024-6387). Het gaat om een raceconditie waarmee een ongeauthenticeerde aanvaller code kan uitvoeren met de hoogste (root) rechten op een systeem. Succesvol misbruik van deze kwetsbaarheid is complex omdat een individuele aanval een lage kans van slagen heeft. Daardoor moet een kwaadwillende over een langere periode aanvallen uitvoeren om deze kans te vergroten. Er is een Proof-of-Concept (PoC) bekend gemaakt waarmee misbruik in een lab-omgeving is aangetoond. Afhankelijk van de omstandigheden en gebruikte OpenSSH Server versie duurt het tussen de 6 uur en een week om een succesvolle aanval uit te voeren. De verwachting is dat succesvol misbruik op een 64-bit besturingssysteem langer duurt. De verwachting is dat het uitvoeren grootschalige aanvallen lastig is, met name omdat de aanval over een langere tijd uitgevoerd moet worden om een redelijke kans van slagen te hebben. Het is niet uitgesloten dat volgende versies van de aanvalscode deze kans vergroten en grootschalige aanvallen haalbaar worden. Het Nederlandse NCSC heeft het risico van deze kwetsbaarheid op M/H (kans/impact) ingeschat. Kwetsbare versiesOnderstaande lijst van OpenSSH Server versies is kwetsbaar als deze gebruikt wordt op een glibc-gebaseerd Linux systeem. Omdat er naast OpenSSH Server ook voorwaarden zijn in besturingssysteem-instellingen is het advies de security melding van de leverancier van het besturingssysteem na te lezen. Een aantal hiervan staan vermeld onder ‘meer informatie’.
Houd er rekening mee dat hardware-apparaten Linux en/of OpenSSH Server als component kunnen gebruiken, wat mogelijk niet direct duidelijk is. Het is daarom aan te raden om de beveiligingsberichten van de leverancier van het apparaat in de gaten te houden, met name voor apparaten die SSH aan het internet blootstellen. Oplossingen en tijdelijke mitigatiesDe kwetsbaarheid is opgelost in de nieuwste versie van OpenSSH Server:
Er is een tijdelijke oplossing beschikbaar door het aanpassen van de OpenSSH Server instelling ‘LoginGraceTime 0‘ en daarna de OpenSSH Server te herstarten. De oplossing wordt met terugwerkende kracht uitgebracht voor oudere versies door verschillende softwareleveranciers. Zie de beveiligingsmelding van de leverancier van het besturingssysteem voor meer informatie. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionOn 1 July 2024, a vulnerability was disclosed in OpenSSH server when used on glibc-based Linux systems. This vulnerability is called regreSSHion (CVE-2024-6387). It involves a race condition that allows an unauthenticated attacker to execute code with the highest (root) privileges on a system. Successful exploitation of this vulnerability is complex because an individual attack has a low chance of success. As a result, a malicious person has to perform attacks over a longer period of time to increase this probability. A Proof-of-Concept (PoC) has been disclosed that demonstrated abuse in a lab environment. Depending on the circumstances and OpenSSH Server version used, it takes between 6 hours and a week to carry out a successful attack. Successful exploitation on a 64-bit operating system is expected to take longer. Performing large-scale attacks is expected to be difficult, especially as the attack must be performed over a longer period of time to have a reasonable chance of success. It cannot be ruled out that subsequent versions of the attack code will increase this chance and make large-scale attacks feasible. The Dutch NCSC has estimated the risk of this vulnerability at M/H (probability/impact). Vulnerable versionsThe below list of OpenSSH Server versions is in vulnerable if used on a glibc-based Linux system. As there are conditions in operating system settings besides OpenSSH Server, it is advisable to check the security notice from the operating system vendor. Some of these are listed under ‘more information’.
Please note that hardware appliances may utilise Linux and/or OpenSSH Server as a component, which may not be immediately apparent. Therefore, it is recommended to monitor security notices from the vendor of the appliance, particularly for appliances that have SSH exposed to the internet. Solutions and workaroundsThe vulnerability has been fixed in the latest version of OpenSSH Server:
A temporary fix is available by modifying the OpenSSH Server setting ‘LoginGraceTime 0‘ and then restarting the OpenSSH Server. The fix is being retroactively released for older versions by various software vendors. See the operating system vendor’s security notice for more information. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |
For English, see below.
BeschrijvingEr bevindt zich een kwetsbaarheid (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP en Serv-U MFT) die kwaadwillenden kunnen misbruiken voor het verkrijgen van gevoelige informatie. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van bestanden op het device in te zien. Er is nog geen actieve uitbuiting van deze kwetsbaarheid bekend, maar gezien de aard van de kwetsbaarheid lijkt uitbuiting triviaal en achten wij de kans op uitbuiting ervan dan ook aannemelijk. Hoewel de kwetsbaarheid zelf geen mogelijkheid biedt tot het verkrijgen van toegang tot het systeem, kan een aanvaller de buitgemaakte informatie mogelijk wel misbruiken om dit doel alsnog te bereiken. Kwetsbare versiesDe kwetsbaarheid bevindt zich in Serv-U 15.4.2 Hotfix 1 (HF1) en alle versies daarvoor. Oplossingen en tijdelijke mitigatiesSolarWinds heeft Serv-U 15.4.2 Hotfix 2 (HF2) uitgebracht om de kwetsbaarheid te verhelpen. Wij raden aan deze update zo spoedig mogelijk te installeren op kwetsbare systemen. Meer informatie
VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionSolarWinds has reported a critical vulnerability (CVE-2024-28995) in SolarWinds Serv-U file servers (Serv-U FTP and Serv-U MFT) that can be exploited by miscreants to collect sensitive information. The vulnerability is a so-called “path traversal” vulnerability that enables an attacker to gain access to random files on the device. At the moment, no active exploitation of this vulnerability is known. However, given the nature of the vulnerability, we assess active exploitation of it to be likely. Although the vulnerability in itself cannot be exploited to gain access to a vulnerable device, the information that might be collected by exploiting this vulnerability can potentially be used to gain this access. Vulnerable versionsThe vulnerability is reported in Serv-U 15.4.2 Hotfix 1 (HF1) and older versions. Solutions and workaroundsSolarWinds released Serv-U 15.4.2 Hotfix 2 (HF2) to resolve this issue. We advise to install this update ASAP. More information
QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |
For English, see below.
BeschrijvingEr bevindt zich een kwetsbaarheid in Check Point Gateways die misbruikt kan worden op het moment dat een dergelijke gateway gebruikmaakt van Remote Access VPN of Mobile Access. Ook gateways met IPsec VPN zijn in principe kwetsbaar, maar dit is niet het geval indien deze functionaliteit alleen wordt ingezet voor site-to-site VPN-verbindingen. De kwetsbaarheid is een zogenoemde “path traversal”-kwetsbaarheid die een aanvaller in staat stelt om de inhoud van willekeurige bestanden op het device in te zien. Als voorbeeld noemt Check Point de mogelijkheid om informatie te achterhalen over het LDAP-account waarvan een gateway gebruikmaakt voor een verbinding met een Windows Domain Controller in het netwerk. Aanvallers maken vermoedelijk sinds eind vorige maand misbruik van de kwetsbaarheid waarbij de aanvallen zich volgens Check Point vooral richten op devices die gebruikmaken van local accounts met wachtwoord-gebaseerde authenticatie. De aanvallers lijken daarbij eerst misbruik te maken van de mogelijkheid om de inloggegevens van deze accounts te bemachtigen om deze informatie vervolgens te misbruiken om zich tegen het device te authenticeren. Details over de kwetsbaarheid, en hoe deze misbruikt kan worden voor het verkrijgen van toegang tot informatie, zijn inmiddels publiek gemaakt. Kwetsbare versiesDe kwetsbaarheden zijn aanwezig in releases R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x en R81.20. Oplossingen en tijdelijke mitigatiesCheck Point heeft fixes uitgebracht voor diverse releases van de Quantum Security Gateway: R81.20:
R81.10:
R81:
R80.40:
Zie het FAQ voor CVE-2024-24919 voor links naar alle fixes (inclusief fixes voor Quantum Maestro, Quantum Scalable Chassis en Quantum Spark Appliances). Naast het installeren van de fixes is het advies om ook lokale accounts waarvan geen gebruikgemaakt wordt, uit te schakelen en om de wachtwoorden van alle lokale accounts – inclusief het LDAP-account – te wijzigen. Daarnaast is het van belang om voor authenticatie niet te vertrouwen op alleen wachtwoorden, maar om multifactor-authenticatie af te dwingen. Detectie van mogelijk misbruikIndien de gateway kwetsbaar is geweest, raadt Check Point aan een controle uit te voeren op wachtwoord-gebaseerde inlogactiviteit op het Mobile Access blade over de afgelopen 3 maanden. Dit kan door binnen SmartConsole te kiezen voor Logs & Monitor > Logs en daar de query action:”Log In” AND auth_method:Password AND blade:”Mobile Access” uit te voeren. Meer informatie
Managed Security Services (MSS) klantenAls u een Pinewood Managed Security Services contract heeft is er geen actie nodig. Pinewood neemt de benodigde maatregelen om uw omgeving te beschermen tegen deze kwetsbaarheden. VragenVoor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl. ===== ENGLISH ===== DescriptionCheck Point reported a vulnerability in Check Point gateways that can be exploited if such a gateway is configured with Remote Access VPN or Mobile Access. Gateways using the IPsec VPN functionality are also vulnerable, but only if this functionality is used for other purposes than site-to-site VPN connections only. The vulnerability is a so-called “path traversal” vulnerability, allowing an attacker to view the contents of random files on the device. As an example, Check Point mentions the ability to retrieve information on the LDAP account configured on the device to connect to an internal Windows Domain Controller on the network. Attackers seem to be exploiting the vulnerability since the end of last month whereby the attackers seem to focus on systems using local accounts with password-only authentication. In the attacks, first the exploit is used to gain information on local accounts and then this information is used to authenticate to the device. Details on the vulnerability, as well as examples on how to abuse it to access information on the device, were already published. Vulnerable versionsThe vulnerabilities are present in R77, R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x and R81.20. Solutions and workaroundsCheck Point released the following fixes for Quantum Security Gateway: R81.20:
R81.10:
R81:
R80.40:
See FAQ for CVE-2024-24919 for links to all fixes (including fixes for Quantum Maestro, Quantum Scalable Chassis and Quantum Spark Appliances). Next to installing these fixes, local accounts that are not in use should be disabled. Passwords for all local accounts, including the LDAP account, should be changed. In addition, authentication to the device should not rely on passwords only, but should be multifactor based. Detection of possible misuseIf a gateway was found vulnerable, Check Point advises to run checks on this gateway for any password based authentication activity on the Mobile Access blade over the past 3 months. This can be done by selecting Logs & Monitor > Logs within the SmartConsole UI and then issuing the query action:”Log In” AND auth_method:Password AND blade:”Mobile Access”. More information
Managed Security Services (MSS) customersIf you have a Pinewood Managed Security Services contract, no action is required. Pinewood takes the necessary measures to protect your environment from these vulnerabilities. QuestionsFor questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl. |