De Amerikaanse geheime dienst NSA waarschuwt dat verschillende Advanced Persistent Threat (APT) groepen gebruikmaken van kwetsbaarheden in de vpn-software van Pulse Secure, Palo Alto en Fortinet om organisaties aan te vallen (pdf). APT-groepen zijn volgens securitybedrijven en onderzoekers vaak statelijke actoren of groepen die in dienst van een land opereren.

Via de beveiligingslekken kan een aanvaller kwetsbare systemen overnemen of toegang tot versleutelde vpn-sessies krijgen. Beveiligingsupdates voor de kwetsbaarheden zijn al maanden beschikbaar, maar nog niet alle organisaties hebben die geïnstalleerd. Als een aanvaller via de beveiligingslekken inloggegevens heeft gestolen, dan zullen die gegevens ook na het installeren van de updates werken. De NSA adviseert dan ook om inloggegevens na het patchen van de vpn-software te resetten en daarna pas de vpn-oplossing op het externe netwerk aan te sluiten. Het gaat dan onder andere om het intrekken van bestaande serversleutels en certificaten.

Tevens geeft de NSA verschillende adviezen voor het uitrollen en beveiligen van vpn-oplossingen, zoals het loggen van vpn-gebruik, het verplichten van tweefactorauthenticatie, het vermijden van propriëtaire ssl-vpn-protocollen, het monitoren van logbestanden en het niet toestaan dat vpn-beheerders via de publieke vpn-webapplicatie op de beheerdersinterface inloggen. In plaats daarvan moet beheerderstoegang worden beperkt tot interne beheerdersnetwerken. Eerder kwam ook de Britse overheid al met een waarschuwing dat APT-groepen het op kwetsbare vpn-oplossingen hebben voorzien.