Aktuelles aus unserer Technik - Q1 / 2023

Seit Check Point auf der CPX 2022 R81.10 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im September 2022 bereits R80.30 auslief, steht für viele Kunden die R81.10 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

Tag: ShellShock

ShellShock – Bash vulnerability (CVE-2014-6271/7169)

26. 9. 2014 | Allgemein, Check Point, McAfee | ESC - Security

Guten Morgen ShellShock!

Diese so genannte und von Entwickler Stephane Chazelas gefundene Bash-Sicherheitslücke (CVE-2014-6271/7169) stellt eine echte und ernst zu nehmende Gefährdung zur Remote-Ausführung von Code für alle auf Linux basierenden IT-Systemen dar, da diese Bash als Standard-Shell verwenden.

Für alle Check Point Kunden hat Check Point mit sk102673 eine Entwarnung samt Bash-Updates veröffentlicht.

Zudem steht ein zentral vor ShellShock schützendes IPS-Update zur Verfügung!

Check Point stellt allen Kunden ferner eine ShellShock Hilfeseite zur Verfügung.

Folgende Check Point Produkte sind NICHT betroffen:

(1) Mobile Access
(2) Identity Awareness Portal
(3) User Check Portal
(4) Alle Remote Access Portale für das Mobile Access Blade
(5) IPS VPN
(6) SNX (SSL Network Extender)

Check Point Protects Customers Against Shellshock

Danke Check Point!

Check Point SmartDashboard – IPS ShellShock Protection

Die Bash-Updates für Check Point Gaia, SecurePlatform und IPSO 6.2 empfehlen wir allen Check Point Kunden, neben dem IPS-Update, zeitnah einzuspielen, sofern Check Point Admin-Portale über unsichere Netzwerke zur Verfügung gestellt werden müssen. Ansonsten geht Check Point von keiner akuten Gefährdung aus, sofern alle Admin-Portal nur über gesicherte Netzwerke erreichbar sind. Check Point hat angekündigt innerhalb der nächsten 24 Stunden einen generellen Hotfix für alle Systeme zur Verfügung zu stellen.

Check Point R77.20 ShellShock

Generell empfehlen wir allen Check Point Kunden niemals die abgesicherte Gaia CLISH beim Standard-Login gegen BASH zu ersetzen, nur damit SCP-Dateitransfers auch direkt mit der Firewall funktionieren. Hierdurch wird nicht nur das vom Hersteller vordefinierte Betriebssystem-Sicherheitskonzept unterlaufen, vielmehr schwächt es gerade auch bei solchen BASH-Schwachstellen die generelle Sicherheit aller an der IT-Sicherheitsinfrastruktur beteiligten Komponenten.

Check Point stellt hierfür eine dedizierte SCPonly-Shell zur Verfügung. Hiermit kann ein separater scpuser elegant in der Gaia-WebUI erstellt werden:

Das geht mit folgenden Befehlen natürlich auch direkt in der Gaia Clish:

[ R77.30 ]
add user scpuser uid 2600 homedir /home/scpuser
set user scpuser shell /usr/bin/scponly
set user scpuser password
save config

[ R80 ]
add user scpuser uid 2600 homedir /home/scpuser
set user scpuser realname Scpuser
add rba role scpRole domain-type System readwrite-features expert
add rba user scpuser roles scpRole
set user scpuser gid 100 shell /usr/bin/scponly
set user scpuser password
save config

Im Netz finden sich bereits zahlreiche ShellShock Tester zum Überprüfen der eigenen, aus dem Internet erreichbaren, Server.

ShellShock Test Tool