-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Check Point VPN producten Advisory ID : NCSC-2024-0238 Versie : 1.00 Kans : medium CVE ID : CVE-2024-24919 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Exposure of Sensitive Information to an Unauthorized Actor Uitgiftedatum : 20240530 Toepassing : checkpoint check_point_quantum_gateway_and_spark_gatew ay_and_cloudguard_network Versie(s) : Platform(s) : checkpoint cloudguard_network_security_firmware checkpoint quantum_maestro_firmware checkpoint quantum_scalable_chassis_firmware checkpoint quantum_security_gateway_firmware checkpoint quantum_spark_gateway_firmware Beschrijving Check Point heeft een kwetsbaarheid verholpen in Quantum Gateway VPN systemen. Check Point meldt actieve pogingen tot misbruik waar te nemen. Door een path-traversal-bug kan een kwaadwillende toegang krijgen tot de username- en password-gegevens van lokale accounts op het VPN- systeem. Indien deze lokale accounts, password-only zijn en geautoriseerd om een VPN-verbinding op te bouwen, kan een kwaadwillende de accounts misbruiken om door te dringen tot de interne infrastructuur. Check Point raadt af om lokale, password-only accounts te gebruiken voor VPN-autorisatie. Ook diverse best-practices adviseren om gebruikers te autoriseren via centrale authenticatie en autorisatiesystemen als AD, LDAP en RADIUS. Bij correct, en volgens best-practices ingerichte systemen is de kans op daadwerkelijk misbruik gering. Vanwege de media-aandacht voor deze kwetsbaarheid verwacht het NCSC wel een toename van scanverkeer en pogingen tot misbruik. Mogelijke oplossingen Check Point heeft hotfixes uitgebracht om de kwetsbaarheid te verhelpen in de getroffen systemen. Ook heeft Check Point uitgebreide handelingsperspectieven gepubliceerd, waarvan zij adviseert ze uit te voeren naast het inzetten van de hotfix: - Wijzig het wachtwoord van het VPN-systeem, indien gebruik gemaakt wordt van LDAP of Active Directory. - Blokkeer toegang van lokale accounts tot de VPN. Met name wanneer deze lokale accounts password-only zijn. Voor meer details, zie de bijgevoegde referenties. Referenties: Reference - cveprojectv5; nvd https://support.checkpoint.com/results/sk/sk182336 Reference - cveprojectv5 https://support.checkpoint.com/results/sk/sk182337 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- wsDzBAEBCgAdBQJmWDFAFiEEbfBszMuom42mJgp8sECQZ3v2JPIACgkQsECQZ3v2 JPKr4gv+NiEn6RbTVL3Rz4lM6YNt6T1XJteEazZVa+V+b9U+ObHl6gKI3Wzczp3t wKEl8tLB0yaobW9Tv4TI7GDSJwZGo9EAaSIaJBrdTzhdWZQxP7ZZeXBwNhh10U/E ayX9AN/SS1+Ihf+MBxLaaYO5kzCbMwCnQSmVt+DjqeysSX/ziq0qpsjWNmjgk4s3 zBg/PfJjLm7zOYIz/FBnU2b7GRdelmRZQ85X+Dq/Hk3nfb6y0VjYxDAHCZtp4mya ki3QLZnkw5qBatSz7PN1+9cwDCmwh+zscUfcReJ20JSSkAz+YhYEfoEv7smm0fmq 8VsyBDb+oPOccs9rpI5P95ZEpsiNWIu5rHjxLaVNH/RSB0aq9A3fpaVnkrtJVB/l mufFjg+E8v1aFgZi4jOjrNydE8PnGDUq9XO6bBy7VQd8l/ZBfhxElk4lTnaCH4wL lkIicqhv7qYDlRUkI710HSTZD8lYjaBufE+MemILuHFE3CP8I9hiXFHNVUjN1jFB IH5QPHl2 =sdXd -----END PGP SIGNATURE-----