image

Wachtwoorden Nederlandse bedrijven gestolen via Pulse Secure-lek

maandag 17 augustus 2020, 11:16 door Redactie, 8 reacties

Aanvallers hebben via een bekend beveiligingslek in de vpn-software van Pulse Secure van meerdere Nederlandse bedrijven de wachtwoorden gestolen. Die verschenen onlangs op een forum voor cybercriminelen. Het gaat onder andere om een dochterbedrijf van het industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker Deco, zo meldt het Financieele Dagblad vandaag.

De kwetsbaarheid in Pulse Secure werd vorig jaar op 24 april gepatcht. Via het beveiligingslek in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende om de kwetsbaarheid uit te buiten. Sinds 22 augustus vorig jaar vinden er ook daadwerkelijk aanvallen plaats.

In oktober waarschuwde het Nationaal Cyber Security Centrum (NCSC) nog dat veel Nederlandse organisaties gebruikmaakten van kwetsbare Pulse Secure-software. Een maand eerder meldde een beveiligingsonderzoeker dat tientallen Nederlandse bedrijven en organisaties de beschikbare update niet hadden geïnstalleerd.

Aanvallers kunnen via de kwetsbaarheid toegang tot de vpn-omgeving krijgen en het achterliggende netwerk aanvallen. Zo zijn er cybercriminelen die via het Pulse Secure-lek ransomware verspreiden. Afgelopen april waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid dat het meerdere incidenten had gezien waarbij vpn-wachtwoorden die via de kwetsbaarheid waren gestolen, maanden nadat organisaties de update hadden uitgerold, werden misbruikt.

Begin augustus publiceerde een gebruiker van een forum voor cybercriminelen een lijst met plaintext gebruikersnamen en wachtwoorden van negenhonderd zakelijk vpn-servers. Het ging daarnaast om ip-adressen, ssh-keys van elke server, lijst van alle lokale gebruikers en hun wachtwoordhashes, details van beheerderaccounts, laatste vpn-logins, waaronder gebruikersnamen en plaintext wachtwoorden, en vpn-sessiecookies, zo meldde ZDNet.

Het Nederlands Security Meldpunt liet vervolgens weten dat ook Nederlandse ip-adressen op de lijst voorkomen. Naast de Nederlandse bedrijven zijn ook het nationale onderzoeksinstituut van Spanje CSIC, porseleinfabrikant Villeroy & Boch en het Luxemburgse laboratoriumbedrijf Eurofins getroffen.

Bij Coen Bakker Deco was men niet op de hoogte van de aanval. De Pulse Secure-server van het bedrijf wordt sinds kort niet meer gebruikt. Ook ITB2 laat weten dat er geen gebruik meer van de server wordt gemaakt. VDL was niet in staat te reageren. Het FD meldt dat de bedrijven niet langer kwetsbaar zijn.

Reacties (8)
17-08-2020, 11:39 door [Account Verwijderd] - Bijgewerkt: 17-08-2020, 11:41
Toen ik vanochtend rond 10.30 uur langs de (gesloten) Primera liep zag ik het Financieele Dagblad met een stapel kranten op de grond liggen en wat meteen opviel was de kop van het FD:

Overheid wist wie kwetsbaar was, maar liet bedrijven toch gehackt worden.
Met daaronder de kop van Ferd Grapperhaus.

En dan sta je toch even met de ogen te knipperen. Pardon? De Overheid wist wie kwetsbaar was en deed vervolgens niets? Als je dan het artikel leest op internet, dan slaat de schrik om je hart. Ik kan mij voorstellen dat men woest is over dit gedrag, want wat zou de overheid ervan vinden als ik een kwetsbaarheid bij hún tegenkom en vervolgens dit opzettelijk vezwijg waardoor de boel gehack kon worden? Zouden ze dit gedrag dan ook accepteren??!
17-08-2020, 12:09 door Anoniem
Waarom wel klagen over de overheid, maar is het artikel van FD niet openbaar?
17-08-2020, 12:35 door Anoniem
Moet ik wel de brandweer bellen als het huis van meneer Grappenhuis in de fik staat?
Ben benieuwd wat de minister daarvan vindt als ik geen 112 zou bellen...
17-08-2020, 13:16 door Anoniem
@AES -> De overheid maakt ook geen melding als jouw (slimme) deurslot niet goed is.

Maar, ik vind het wel erg makkelijk van de overheid. Waarom hebben ze dan geen nieuwsbrief systeem waarop iedereen zich mag aanmelden? En krijgt iedereen een melding over lekken. En de hackers weten die toch al, dus daar hoef je niet bang voor te zijn.

Maar ik vind ook dat de IT afdelingen wel heel erg laks zijn. Deze lek is breed in het nieuws geweest, en dat zou voldoende moeten zijn voor een beheerder om te kunnen acteren. Afschuiven op de overheid is zo makkelijk....

Dus zowel de IT beheerders als de overheid kunnen een stapje beter doen.....

TheYOSH
17-08-2020, 13:39 door Anoniem
Door Advanced Encryption Standard: Toen ik vanochtend rond 10.30 uur langs de (gesloten) Primera liep zag ik het Financieele Dagblad met een stapel kranten op de grond liggen en wat meteen opviel was de kop van het FD:

Overheid wist wie kwetsbaar was, maar liet bedrijven toch gehackt worden.
Met daaronder de kop van Ferd Grapperhaus.

En dan sta je toch even met de ogen te knipperen. Pardon? De Overheid wist wie kwetsbaar was en deed vervolgens niets? Als je dan het artikel leest op internet, dan slaat de schrik om je hart. Ik kan mij voorstellen dat men woest is over dit gedrag, want wat zou de overheid ervan vinden als ik een kwetsbaarheid bij hún tegenkom en vervolgens dit opzettelijk vezwijg waardoor de boel gehack kon worden? Zouden ze dit gedrag dan ook accepteren??!
Als diezelfde overheid ALLE systemen in Nederland zou controleren, dan is dit forum te klein voor alle verwensingen en scheldpartijen. Nu zouden ze dan opeens alle systeembeheerders moeten wijzen op hun probleem? Dat zou dan betekenen, dat de overheid dan alle systeembeheerders moet opnemen in een database en die moet dan up to date blijven! Aantasting van de privacy, volgens vele reaguurders op dit forum. Volgens mij was jouw reactie een onderbuikgevoel, maar niet nagedacht over het hoe en waarom, om maar niet te spreken over het mandaat wat NCSC , wat ze wel en niet mogen.
17-08-2020, 15:13 door Anoniem
Door Anoniem:
Als diezelfde overheid ALLE systemen in Nederland zou controleren, dan is dit forum te klein voor alle verwensingen en scheldpartijen. Nu zouden ze dan opeens alle systeembeheerders moeten wijzen op hun probleem? Dat zou dan betekenen, dat de overheid dan alle systeembeheerders moet opnemen in een database en die moet dan up to date blijven! Aantasting van de privacy, volgens vele reaguurders op dit forum. Volgens mij was jouw reactie een onderbuikgevoel, maar niet nagedacht over het hoe en waarom, om maar niet te spreken over het mandaat wat NCSC , wat ze wel en niet mogen.

Precies. Dus eigen zaakjes op orde brengen in plaats van wijzen naar de overheid die het voor je moet regelen. Lekker makkelijk zo'n 'gratis' waarschuwingsdienst. En vervolgens allemaal maar klagen als de overheidsuitgaven stijgen.
In het artikel in de FD wordt ook expliciet benoemd dat het teveel werk was om alle bedrijven zelf aan te schrijven en daarom de bevindingen maar zijn gedeeld met het NCSC. Vervolgens publiekelijk klagen als zij niks met deze meldingen doen, terwijl ze niet eens het mandaat hebben. Niet echt chique.

Maar goed: mocht die gratis waarschuwingsdienst er wel komen, dan kan ik weer wat cybersecurity budget besparen. Hoef ik weer wat minder zelf te regelen. Behalve dan zeuren als ze een vulnerability op mijn internet opgangen missen of te laat melden.
17-08-2020, 15:42 door Anoniem
Door Anoniem: @AES -> De overheid maakt ook geen melding als jouw (slimme) deurslot niet goed is.

Maar, ik vind het wel erg makkelijk van de overheid. Waarom hebben ze dan geen nieuwsbrief systeem waarop iedereen zich mag aanmelden? En krijgt iedereen een melding over lekken. En de hackers weten die toch al, dus daar hoef je niet bang voor te zijn.

Maar ik vind ook dat de IT afdelingen wel heel erg laks zijn. Deze lek is breed in het nieuws geweest, en dat zou voldoende moeten zijn voor een beheerder om te kunnen acteren. Afschuiven op de overheid is zo makkelijk....

Dus zowel de IT beheerders als de overheid kunnen een stapje beter doen.....

TheYOSH
Ik denk niet dat een beheerder die laks is met patchen zich wel op zo'n nieuwsbrief gaat abonneren. Sterker nog, NCSC heeft al een RSS waarop je je kunt aanmelden voor beveiligingsadviezen, waar deze op 1 mei 2019 al voorbij is gekomen:
https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0353
17-08-2020, 16:23 door karma4
Door Anoniem: ...Maar goed: mocht die gratis waarschuwingsdienst er wel komen, dan kan ik weer wat cybersecurity budget besparen. Hoef ik weer wat minder zelf te regelen. Behalve dan zeuren als ze een vulnerability op mijn internet opgangen missen of te laat melden.
DIe blijkt zelfs al te bestaan. https://www.digitaltrustcenter.nl/ opgericht in 2018 loopt niet heel soepel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.