Check Point confirmó que los archivos de logs que el agente Harmony SASE subía a un servidor SFTP durante procesos de troubleshooting pudieron haber sido accesibles por terceros no autorizados debido al uso de una clave SFTP compartida con permisos de lectura/listado, en lugar de permisos liChemitados sólo a escritura.
Entre los datos potencialmente expuestos se encuentran tokens de autenticación temporales contenidos en esos ficheros de diagnóstico.
El problema aparece en el registro público de asesorías y bases de datos de vulnerabilidades bajo el identificador CVE-2025-3831.
¿Qué pasó?
- El agente de Harmony SASE incluía en su flujo de subida de logs una clave SFTP embebida/compartida usada para enviar archivos de diagnóstico a un servidor de soporte.
- Esa clave tenía permisos para leer y listar el contenido del servidor SFTP, no sólo para subir (write-only).
- Por tanto, cualquiera con acceso a la clave podía listar y descargar logs de otros clientes.
- Los logs de diagnóstico suelen contener información sensible, rutas, errores y, en algunos casos, tokens temporales o fragmentos de sesiones, lo que supone un riesgo significativo de exposición de datos.
Línea de tiempo y desenlace
- 22 de marzo de 2025: Check Point detectó la falla en el mecanismo de subida de logs del agente Harmony SASE y procedió a corregirla de inmediato.
- Se restringieron los permisos de la clave SFTP compartida para que solo permitiera operaciones de escritura (write-only), eliminando la capacidad de leer o listar archivos.
- La compañía comunicó públicamente el incidente y confirmó que no se requiere ninguna acción por parte de los clientes en este momento, dado que la vulnerabilidad ya fue mitigada.
Impacto y severidad
- La exposición se clasifica como alta, ya que permite acceso a información sensible (CWE-200: Exposure of Sensitive Information).
- Herramientas de seguimiento de CVE y agregadores califican el impacto como significativo para los clientes que utilizaron el mecanismo vulnerable de subida de logs.
Solución aplicada por el proveedor
- Mitigación inmediata: Check Point limitó los permisos del par de claves en el servidor SFTP a write-only.
- Comunicación: Publicación de un aviso oficial en su portal de seguridad, confirmando que la vulnerabilidad fue cerrada y que no se requiere acción por parte del cliente.
Buenas prácticas y recomendaciones (como expertos en ciberseguridad)
Aunque Check Point mitigó el problema, las organizaciones deben reforzar sus procesos internos para prevenir incidentes similares:
- Verificar con el proveedor
- Confirmar la versión del agente y revisar boletines de seguridad relacionados con CVE-2025-3831.
- Revisar logs y tokens emitidos
- Auditar tokens o credenciales temporales que pudieron haberse incluido en logs. Rotarlos si es necesario.
- Segregar canales de soporte
- Usar credenciales únicas por cliente o mecanismos de subida con permisos estrictos.
- Aplicar el principio de menor privilegio
- Limitar accesos de credenciales de diagnóstico únicamente a la función que necesitan cumplir.
- Cifrado y DLP en repositorios de logs
- Implementar controles para detectar y proteger datos sensibles antes de que se almacenen.
- Rotación y monitoreo de credenciales
- Rotar claves SFTP y monitorear accesos inusuales o intentos de listado masivo de archivos.
- Pruebas de seguridad periódicas
- Incluir auditorías y pentests sobre los canales de telemetría y diagnóstico.
- Plan de respuesta ante incidentes
- Tener definido un protocolo claro para contención, análisis forense y notificación si se detecta acceso no autorizado.
llamada a la acción
CVE-2025-3831 es un recordatorio de que los canales de soporte y diagnóstico pueden convertirse en un punto débil si no se aplican principios de mínimo privilegio y control de accesos.
Check Point ya mitigó la vulnerabilidad, pero es recomendable que las organizaciones verifiquen sus configuraciones, auditen sus logs y fortalezcan sus procedimientos para manejar credenciales y datos de diagnóstico de manera segura.
