image

NCSC waarschuwt mkb-bedrijven voor kwetsbare vpn-software

donderdag 28 mei 2020, 15:31 door Redactie, 12 reacties
Laatst bijgewerkt: 28-05-2020, 17:35

Er is een toename van het aantal scans door statelijke actoren naar kwetsbare vpn-software en met name mkb-bedrijven lopen hierdoor risico, zo waarschuwt het Nationaal Cyber Security Centrum (NCSC) van de overheid. "Uit betrouwbare bron heeft het NCSC vernomen dat in Nederland statelijke actoren nog altijd actief scannen naar vpn-kwetsbaarheden", aldus de overheidsinstantie. Het zou onder andere om de vpn-software van Pulse Secure en Fortinet gaan.

Volgens het NCSC hebben veel organisaties inmiddels maatregelen genomen om de kwetsbaarheden in hun vpn-software te verhelpen. Het zijn met name mkb-bedrijven die hun vpn-software nog altijd niet hebben gepatcht. Het gaat onder andere om makelaars, adviesbureaus, producenten van goederen, bouwbedrijven en andere leveranciers.

Het NCSC adviseert organisaties om hun vpn-software van de laatste beveiligingsupdates te voorzien. In het geval er niet met zekerheid kan worden vastgesteld dat aanvallers al toegang tot de vpn-systemen hebben gekregen wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken. Verder wordt gewezen op het toepassen van tweefactorauthenticatie en het controleren van logbestanden.

De waarschuwing van het NCSC staat niet op zichzelf. Begin deze maand waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid dat aanvallers steeds vaker gebruikmaken van kwetsbaarheden in vpn-software, en dan voornamelijk in de software van Citrix (CVE-2019-19781) en Pulse Secure (CVE-2019-11510). Vorige week kwam de Australische overheid nog met een overzicht van manieren waarop aanvallers systemen weten binnen te dringen. Het ging onder andere om bekende kwetsbaarheden in Pulse Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway.

Reacties (12)
28-05-2020, 17:03 door Anoniem
Als het even kan geen VPN software gebruiken, maar VPN hardware.

Voorconfiguratie kan gebeuren door de IT-specialist
waarna de gebruiker het gemakkelijk zelf kan aansluiten, en het is minder kwetsbaar.
28-05-2020, 17:23 door Anoniem
wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken.
O ja. En dus opnieuw beginnen met de reeds betaalde vpn-rekening die faalde?
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.
28-05-2020, 19:01 door Anoniem
Door Anoniem: Als het even kan geen VPN software gebruiken, maar VPN hardware.

Van Pulse Secure of Fortinet zeker?

"VPN hardware" dat is sowieso kolder, dat is gewoon een computer met VPN software voorgeinstalleerd....
29-05-2020, 00:49 door Anoniem
Door Anoniem:
wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken.
O ja. En dus opnieuw beginnen met de reeds betaalde vpn-rekening die faalde?
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.

Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid. Dit soort reacties wekken aan de ene kant mijn interesse omdat je doet overkomen alsof je de kennis in pacht hebt. Maar vervolgens deel je die dan niet, dat vind ik jammer. Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?
29-05-2020, 09:15 door Anoniem
Citrix , Fortinet en Pulse Secure alle 3 US. Het zou toch mooi zijn als encryptie verboden wordt dan heb je ook geen last meer van kwetsbaarheden. Of dat ze graag achterdeurtjes in encryptie willen is geen probleem. Want dat weet alleen de US. Of zijn er nu misschien wel een paar gevonden en worden ze misbruikt?
29-05-2020, 09:53 door Anoniem
Onderhouden en tijdig patchen.. Geld voor gewone software en nog meer security producten. Er bestaat geen bug vrije software. Voor de 2 genoemde producten zijn al lang updates beschikbaar. Maar ook andere leveranciers zoals Cisco (ASA) of OpenVPN hebben in het verleden security bugs gehad waarvoor patches beschikbaar zijn.

Te vaak wordt het mantra gebruikt.. Set and forget.. Vooral bij hardware applicances is dit een probleem. De apparaten en software moet gewoon onderhouden worden. Niet alleen voor bugs, maar ook de configuratie dient bij de tijd gehouden te worden... Denk aan uitfaseren verouderde protocollen.. Eerder ssl -v3 en recenter TLS v1.0 en TLS 1.1
29-05-2020, 15:46 door Anoniem
Door Anoniem:
Door Anoniem:
wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken.
O ja. En dus opnieuw beginnen met de reeds betaalde vpn-rekening die faalde?
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.

Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid. Dit soort reacties wekken aan de ene kant mijn interesse omdat je doet overkomen alsof je de kennis in pacht hebt. Maar vervolgens deel je die dan niet, dat vind ik jammer. Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?

Uw verwarring is volkomen te begrijpen. De beste heer verward de zakelijke VPN oplossingen waarover de NCSC adviseert met de consumenten VPN diensten die men online afneemt. In een zakelijke VPN oplossing kunt u zelf de gehele configuratie beheren, waaronder het aanmaken van gebruikersaccounts. Het advies van het NCSC is om deze accounts na het updaten van de VPN software opnieuw aan te maken om te voorkomen dat accounts die door hacks zijn gecompromitteerd (bijvoorbeeld het lekken van private keys) worden gebruikt om ongeautoriseerde toegang tot het netwerk en/of systemen te verkrijgen. De persoon waarop u reageert denkt dat de NSCS verwacht dat consumenten die reeds voor een online VPN dienst hebben betaald het account maar moeten opzeggen en een nieuw account moeten afsluiten. Mocht u nieuw zijn op deze website. De adviezen en meningen van anderen zijn vaak met een korreltje zout te nemen.
30-05-2020, 10:57 door Anoniem
Door Anoniem:
Te vaak wordt het mantra gebruikt.. Set and forget.. Vooral bij hardware applicances is dit een probleem. De apparaten en software moet gewoon onderhouden worden. Niet alleen voor bugs, maar ook de configuratie dient bij de tijd gehouden te worden... Denk aan uitfaseren verouderde protocollen.. Eerder ssl -v3 en recenter TLS v1.0 en TLS 1.1

Oh maar dat "set and forget" dat zou best kunnen hoor! Alleen moet je dan een appliance hebben waarvan de
software (en mogelijk kritische configuratie items) zich automatisch update. Als je ergens kunt configureren dat belangrijke
updates van de fabrikant automatisch geinstalleerd worden en dat gebleken onveilige protocollen automatisch disabled
worden (wellicht beide features voorzien van e-mail alerts enige tijd voordat het gaat plaatsvinden) dan hoef je er zelf
niet meer zo op te letten.

Eigenlijk snap ik niet zo goed waarom high-profile bedrijven als Fortinet en Pulse Secure dat niet doen. Voor de
stronteigenwijze beheerder die alles zelf wil beoordelen en kiezen kan dat altijd nog uitschakelbaar gemaakt worden,
met een duidelijke alert erbij dat je van nu af ZELF verantwoordelijk bent voor alle shit.
Als dat zo gedaan zou worden dan zouden er niet zoveel van die ongepatchte apparaten blijven staan, en ook kon
je dan mooi zien bij welke bedrijven de beheerfilosofie niet deugt.
30-05-2020, 19:20 door Anoniem
Door Anoniem:
Door Anoniem: Als het even kan geen VPN software gebruiken, maar VPN hardware.
"VPN hardware" dat is sowieso kolder, dat is gewoon een computer met VPN software voorgeinstalleerd....
Die waarschijnlijk nooit wordt geupdate en vast nog met het default admin account actief.
30-05-2020, 19:23 door Anoniem
Door Anoniem:
Door Anoniem:
wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken.
O ja. En dus opnieuw beginnen met de reeds betaalde vpn-rekening die faalde?.

Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid.
Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?

Als het echt veilig moet, dan niet op het internet aansluiten.
01-06-2020, 18:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken.
O ja. En dus opnieuw beginnen met de reeds betaalde vpn-rekening die faalde?.

Ik kom hier in de hoop wat meer te leren over cyber security in zijn algemeenheid.
Wat zou je nog meer, op patchen, twee-factor authentificatie en de andere standaard dingen voorstellen?

Als het echt veilig moet, dan niet op het internet aansluiten.

Tering wat een wijsheid .

Geef je ook verkeerskunde ? "thuis blijven is het veiligst"
09-06-2020, 09:02 door potshot
Door Anoniem:
wordt aangeraden om alle vpn-accounts te verwijderen en met nieuwe wachtwoorden en bij voorkeur met nieuwe gebruikersnamen aan te maken.
O ja. En dus opnieuw beginnen met de reeds betaalde vpn-rekening die faalde?
Is dat nou een cyber-advies van een "nationaal" advies club??
Da's wel een vrij reactief advies van een dergelijke club van "wijze" professionals.

en tegelijkrtijd jezelf wel een 'professional' vinden heh?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.