image

NCSC: veel Nederlandse organisaties met kwetsbare vpn-software

zaterdag 19 oktober 2019, 07:52 door Redactie, 8 reacties

Nog veel Nederlandse organisaties maken gebruik van kwetsbare Pulse Secure en Fortigate vpn-software en lopen daardoor risico op aanvallen, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid.

Via kwetsbaarheden in de software kan een aanvaller kwetsbare vpn-servers en -clients overnemen of toegang tot versleutelde vpn-sessies krijgen. Beveiligingsupdates voor de kwetsbaarheden zijn al maanden beschikbaar, maar nog niet alle organisaties hebben die geïnstalleerd. Beveiligingsonderzoeker Troy Mursch meldde op 24 augustus dat er in Nederland 420 ongepatchte Pulse Secure vpn-servers waren te vinden.

Het Britse NCSC en de Amerikaanse geheime dienst NSA waarschuwden vorige week dat Advanced Persistent Threat (APT)-groepen actief misbruik van de kwetsbaarheden maken. Ook het Nederlandse NCSC stelt dat nog niet gepatchte vpn-systemen zeer waarschijnlijk gecompromitteerd zijn. "Voorzie de vpn-software van de laatste beveiligingsupdates. Als u dit nog niet had gedaan, dan bestaat er een groot risico dat uw vpn-software al is gecompromitteerd", aldus de overheidsinstantie.

Organisaties die niet kunnen uitsluiten dat hun vpn-software is gecompromitteerd krijgen het advies om alle vpn-accounts opnieuw aan te maken en van nieuwe wachtwoorden te voorzien. Wanneer mogelijk wordt ook het kiezen van nieuwe gebruikersnamen aangeraden. Verder adviseert het NCSC het implementeren van tweefactorauthenticatie en het controleren van logbestanden op misbruik.

Het NCSC laat op Twitter weten dat het de eigen doelgroepen, vitale aanbieders en het Rijk, over de vpn-kwetsbaarheden heeft geïnformeerd. "Maar vanwege het ernstige risico van deze kwetsbaarheid vragen we extra aandacht middels deze waarschuwing."

Reacties (8)
19-10-2019, 12:56 door Anoniem
Wat zijn de redenen dat Nederlandse organisaties nog kwetsbare Pulse Secure en Fortigate vpn-software hebben? Of is dit dezelfde vraag waarom er we massaal met steeds ouder wordende smartphones rondlopen in plaats van te investeren in updaten of vervangen?
19-10-2019, 16:38 door Anoniem
Door Anoniem: Wat zijn de redenen dat Nederlandse organisaties nog kwetsbare Pulse Secure en Fortigate vpn-software hebben?
Dat is hier toch uitgebreid besproken? Omdat er kennelijk bij Nederlandse organisaties veel beheerders werken die
zich indekken door "volgens het boekje" te werken waarin staat dat je nooit updates van je leverancier moet installeren
zonder ze eerst in-house een jaar getest te hebben, zelfs niet als de leverancier zegt dat het een critical update is.
Want je weet het: als er door het door jou installeren van een update een kleine downtime is dan heb jij het gedaan, en
als je de update alleen op een lijst van nog uit te voeren projecten zet dan ben je de gevierde peer.
Ik weet het, het is ernstig, maar er zijn hier op het forum diverse mensen die dergelijk wanbeheer met hand en tand
verdedigen dus het zit er kennelijk diep ingepeperd.
19-10-2019, 19:54 door Anoniem
Door Anoniem: Wat zijn de redenen dat Nederlandse organisaties nog kwetsbare Pulse Secure en Fortigate vpn-software hebben? Of is dit dezelfde vraag waarom er we massaal met steeds ouder wordende smartphones rondlopen in plaats van te investeren in updaten of vervangen?

Waar het bij veel organisaties of bedrijven aan ontbreekt is goed gekwalificeerd personeel. Wat daarbij dan sterk meespeelt is een opeenstapeling van foute keuzen gemaakt in het verleden. Vooral zogenoemde ‘legacy-systemen’, verouderde technologie die niet of nauwelijks nog ondersteund door de leverancier, brengen grote risico's met zich mee:

https://www.ncsc.nl/documenten/publicaties/2019/mei/01/zicht-op-risicos-van-legacysystemen
19-10-2019, 22:08 door Anoniem
Tja, wanneer deze in omgevingen gebruikt worden waarbij downtime niet kan, ga dan maar eens regelen 'met de business' dat ie plat moet en dat je niet kunt garanderen dat het gaat werken als voorheen.
19-10-2019, 22:19 door Anoniem
Hoe kun je controleren of je VPN-provider al dan niet de Pulse Secure of Fortigate VPN-software gebruikt? Ik heb al twee updates van de door mij gebruikte software gehad en toegepast.
20-10-2019, 09:52 door Anoniem
Gewoon vragen aan je provider door middel van een ticket of via een account manager.
20-10-2019, 21:40 door Anoniem
Door Anoniem: Tja, wanneer deze in omgevingen gebruikt worden waarbij downtime niet kan, ga dan maar eens regelen 'met de business' dat ie plat moet en dat je niet kunt garanderen dat het gaat werken als voorheen.
Als het alternatief is dat het netwerk wagenwijd open staat moet dat niet te moeilijk zijn. Dit is maar een sslvpn appliance, de upgrade moet niet te schokkend zijn.

En voor de reactie aan het begin, kun je daar wat voorbeelden van geven dan. Dat bedrijven / organisaties positief zijn over het op de stapel leggen van zulke belangrijke upgrades.
21-10-2019, 10:53 door Erik van Straten - Bijgewerkt: 21-10-2019, 10:55
Door Anoniem:
Door Anoniem: Wat zijn de redenen dat Nederlandse organisaties nog kwetsbare Pulse Secure en Fortigate vpn-software hebben?
Dat is hier toch uitgebreid besproken? Omdat er kennelijk bij Nederlandse organisaties veel beheerders werken die
zich indekken door "volgens het boekje" te werken waarin staat dat je nooit updates van je leverancier moet installeren
zonder ze eerst in-house een jaar getest te hebben, zelfs niet als de leverancier zegt dat het een critical update is. [...
Ik vermoed dat een ander probleem een grotere rol speelt, namelijk bij organisaties die (o.a.) het beheer van VPN-systemen hebben uitbesteed en zelf geen mensen in huis hebben die de bijbehorende risico's kunnen inschatten en/of überhaupt op de hoogte zijn van het bestaan van ernstige kwetsbaarheden op een bepaald moment.

Ongetwijfeld zullen de meeste beheerders van ingehuurde organisaties, de noodzaak tot patchen, melden bij hun account-managers, die dat op hun beurt weer zullen melden bij hun contactpersonen in de betreffende organisaties. Bij deze laatste stap spelen commerciële belangen, en dus afwegingen die zo'n accountmanager maakt, een rol - waarbij de urgentie kan worden afgezwakt.

Vervolgens is het van belang dat de contactpersoon begrijpt wat de urgentie is, en wat de impact kan zijn bij uitstel (of afstel). Ook hier kan informatie verloren gaan of de urgentie worden afgezwakt (zo'n contactpersoon heeft immers ook een eigen agenda van zaken die hij/zij geregeld wil hebben).

Deze contactpersoon zal dit, vroeger of later, wel melden bij leidinggevenden - die, op basis van vaak onvolledige informatie en met gebrek aan kennis, allerelei verschillende prioriteiten moeten stellen. En zo kan het besef van de noodzaak om ASAP te patchen verloren gaan in de waan van de dag.

En indien/zodra e.e.a. wel begrepen wordt, moet de instructie om te updaten via dezelfde weg terug, waarbij er weer vanalles mis kan gaan. Ten slotte hebben de ondersteunende bedrijven vaak veel klanten waar patches moeten worden uitgerold, in de volgorde waar de klanten om vragen (en de meeste natuurlijk buiten kantoortijden). Als zo'n leverancier haar asset-management/CMDB niet op orde heeft en houdt (niet precies weet wat waar draait met welke versie), ook in zeer drukke tijden ("dat ik, binnen de beschikbare tijd, niet meer heb kunnen testen of het patchen gelukt is, voeg ik morgen wel toe, ik ga nu naar bed"), is smeken om problemen.

Als organisaties niet zelf iemand -met kennis van zaken- hebben rondlopen, waar de directie naar luistert als hij/zij roept "laat alles vallen en doe eerst dit om een calamiteit te voorkomen", en vervolgens niet persoonlijk de vinger aan de pols blijven houden (c.q. aan iemand met voldoende verantwoordelijkheidsgevoel kan delegeren, bijv. bij ziekte of vakantie) totdat een lek aantoonbaar is gedicht, blijven dit soort dingen fout gaan - puur door onkunde en miscommunicatie op een hoger niveau dan van beheerders.

Beheerders die na een paar keer waarschuwen hun schouders ophalen en weer een stukje onverschilliger worden; wie niet horen wil, moet maar voelen.

Overzicht met timeline van het Pulse Secure VPN lek: https://kb.cert.org/vuls/id/927237/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.