NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Check Point VPN producten
Advisory ID     : NCSC-2024-0238
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2024-24919
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Exposure of Sensitive Information to an Unauthorized
                  Actor
Uitgiftedatum   : 20240530
Toepassing      : checkpoint check_point_quantum_gateway_and_spark_gatew
                  ay_and_cloudguard_network
Versie(s)       :
Platform(s)     : checkpoint cloudguard_network_security_firmware
                  checkpoint quantum_maestro_firmware
                  checkpoint quantum_scalable_chassis_firmware
                  checkpoint quantum_security_gateway_firmware
                  checkpoint quantum_spark_gateway_firmware

Beschrijving
   Check Point heeft een kwetsbaarheid verholpen in Quantum Gateway VPN
   systemen.
   Check Point meldt actieve pogingen tot misbruik waar te nemen.

   Door een path-traversal-bug kan een kwaadwillende toegang krijgen tot
   de username- en password-gegevens van lokale accounts op het VPN-
   systeem.
   Indien deze lokale accounts, password-only zijn en geautoriseerd om
   een VPN-verbinding op te bouwen, kan een kwaadwillende de accounts
   misbruiken om door te dringen tot de interne infrastructuur.
   Check Point raadt af om lokale, password-only accounts te gebruiken
   voor VPN-autorisatie.
   Ook diverse best-practices adviseren om gebruikers te autoriseren via
   centrale authenticatie en autorisatiesystemen als AD, LDAP en RADIUS.
   Bij correct, en volgens best-practices ingerichte systemen is de kans
   op daadwerkelijk misbruik gering.
   Vanwege de media-aandacht voor deze kwetsbaarheid verwacht het NCSC
   wel een toename van scanverkeer en pogingen tot misbruik.

Mogelijke oplossingen
   Check Point heeft hotfixes uitgebracht om de kwetsbaarheid te
   verhelpen in de getroffen systemen.
   Ook heeft Check Point uitgebreide handelingsperspectieven
   gepubliceerd, waarvan zij adviseert ze uit te voeren naast het
   inzetten van de hotfix:
   - Wijzig het wachtwoord van het VPN-systeem, indien gebruik gemaakt
   wordt van LDAP of Active Directory.
   - Blokkeer toegang van lokale accounts tot de VPN. Met name wanneer
   deze lokale accounts password-only zijn.
   Voor meer details, zie de bijgevoegde referenties.

   Referenties:
      Reference - cveprojectv5; nvd
      https://support.checkpoint.com/results/sk/sk182336

      Reference - cveprojectv5
      https://support.checkpoint.com/results/sk/sk182337

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
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=sdXd
-----END PGP SIGNATURE-----