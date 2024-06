De 'Citrix-files' op Nederlandse wegen van begin 2020 liggen alweer vier jaar achter ons, maar firewalls en vpn-servers worden een steeds geliefder doelwit van aanvallers en landen slaan nu alarm. Hoewel deze apparaten voor veel organisaties een beveiligingsdoel vervullen, zijn ze meestal niet met security in het achterhoofd ontwikkeld, aldus verschillende nationale cyberagentschappen. In dit achtergrondartikel kijkt Security.NL naar de recente ontwikkelingen, om wat voor kwetsbaarheden het gaat en welke adviezen overheidsinstanties geven. Het artikel zal daarnaast worden bijgewerkt in het geval van nieuwe aanvallen op edge devices.

Onder edge devices worden apparaten zoals firewalls, vpn-servers, routers en gateways verstaan. Ze vervullen vaak een belangrijke (beveiligings)rol binnen het netwerk of voor de organisatie. Het compromitteren van een edge device biedt allerlei voordelen voor een aanvaller. Zo is het mogelijk om het achterliggende netwerk aan te vallen, vertrouwelijke of gevoelige gegevens te onderscheppen of andere aanvallen uit te voeren. Doordat edge devices vaak niet goed worden gemonitord kan een compromittering vaak lang onopgemerkt blijven.

Citrix-files

Dat kwetsbaarheden in edge devices grote gevolgen kunnen hebben werd begin 2020 duidelijk, toen organisaties actief werden aangevallen via een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway. ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.

De gateway is een oplossing waarmee medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten kunnen krijgen. Vanwege het risico op een succesvolle aanval besloten overheden, bedrijven en organisaties hun Citrix-servers begin 2020 uit te schakelen, wat volgens de ANWB voor langere files zorgde. De Onderzoeksraad voor Veiligheid (OVV) voerde zelfs een onderzoek uit naar de manier waarop de overheid met het Citrix-lek omging.

Inmiddels zijn we sinds dit betreffende Citrix-lek ruim vier jaar verder, maar waarschuwde de MIVD deze week nog dat aanvallers vorig jaar 20.000 FortiGate vpn-systemen hadden gecompromitteerd. Ook edge devices van Ivanti, Barracuda, Check Point, Sophos, Cisco, Netscaler (zoals Citrix nu heet), SonicWall, Fortinet, Zyxel, F5, Juniper en Palo Alto Networks werden de afgelopen maanden het doelwit van aanvallen en zo gebruikt om bij organisaties binnen te dringen. De situatie is inmiddels zodanig dat cyberagentschappen uit Nederland, het Verenigd Koninkrijk, Noorwegen, Frankrijk en de, Verenigde Staten met waarschuwingen en adviezen zijn gekomen over de toenemende aanvallen op edge devices.

Niet secure by design

"Aanvallers hebben ontdekt dat de meeste producten die vanaf de perimeter toegankelijk zijn, niet 'secure by design' zijn, en kwetsbaarheden dus eenvoudiger te vinden zijn dan in populaire clientsoftware", zo stelde het Britse National Cyber Security Centre (NCSC) eerder dit jaar. Zodra een vpn of firewall is gecompromitteerd kan een aanvaller het netwerk verder binnendringen. Een bijkomend voordeel voor aanvallers is dat degelijke logging op dergelijke apparaten vaak ontbreekt.

Het standpunt van het Britse NCSC wordt gedeeld door het Nederlandse Nationaal Cyber Security Centrum (NCSC). "Recente incidenten en geïdentificeerde kwetsbaarheden binnen verschillende edge devices tonen aan dat deze producten vaak niet voldoende zijn ontworpen volgens moderne security-by-design principes. Dit terwijl deze producten wel een essentiële rol spelen bij de beveiliging van het netwerk." De overheidsinstantie stelt ook dat monitoring en logging bij edge devices complex en vaak onvoldoende geconfigureerd is.

Veel van de aanvallen worden toegeschreven aan statelijke actoren die de apparaten voor spionagedoeleinden compromitteren. Zodra een actief aangevallen kwetsbaarheid echter bekend wordt, blijkt in de praktijk dat bijvoorbeeld ook cybercriminelen deze apparaten voor financieel gewin aanvallen. Hoewel updates dan vaak al beschikbaar zijn, worden die niet altijd geïnstalleerd. Vorig jaar kwam de Amerikaanse overheid met een overzicht van de meest actief aangevallen kwetsbaarheden in 2022. Daarin stond onder andere een uit 2018 stammend Fortinet-lek.

Overzicht actief aangevallen kwetsbaarheden

De afgelopen jaren hebben tal van leveranciers van edge devices met actief aangevallen kwetsbaarheden te maken gekregen. Hieronder een overzicht op basis van gegevens van de Amerikaanse overheid over aangevallen beveiligingslekken in de afgelopen vier jaar waarmee fabrikanten en afnemers van edge devices werden geconfronteerd. Het gaat om het product, de betreffende kwetsbaarheid met CVE-nummer, de impact van het beveiligingslek op een schaal van 1 tot en met 10 en wat voor soort kwetsbaarheid het is.

Barracuda - Email Security Gateway CVE-2023-2868 (9.8) Command injection Check Point - Quantum Security Gateways CVE-2024-24919 (8.6) - Information disclosure Cisco - ASA, FTD, IOS, IOS XE, IOS XR, SMB Routers CVE-2024-20359 (6.0) Code injection

CVE-2024-20353 (8.6) Infinite loop

CVE-2023-20273 (7.2) Command injection

CVE-2023-20198 (10.0) Unprotected alternate channel

CVE-2023-20109 (6.6) Out-of-bounds write

CVE-2023-20269 (9.1) Authentication bypass

CVE-2022-20821 (6.5) Exposure of sensitive information

CVE-2022-20708 (10.0) Buffer overflow

CVE-2022-20703 (10.0) Buffer overflow

CVE-2022-20701 (10.0) Buffer overflow

CVE-2022-20700 (10.0) Buffer overflow

CVE-2022-20699 (10.0) Buffer overflow

CVE-2020-3452 (7.5) Path traversal

CVE-2020-3259 (7.5) Exposure of sensitive information

CVE-2020-3580 (6.1) Cross-site scripting (XSS)

CVE-2020-3118 (8.8) Out-of-bounds write

CVE-2020-3566 (8.6) Memory exhaustion

CVE-2020-3569 (8.6) Memory exhaustion Ivanti - Connect Secure / Policy Secure / Neurons CVE-2024-21893 (8.2) Server-side request forgery (SSRF)

CVE-2024-21887 (9.1) Command injection

CVE-2023-46805 (8.2) Improper authentication

CVE-2021-22900 (7.2) Unrestricted file upload

CVE-2021-22899 (8.8) Command injection

CVE-2021-22894 (8.8) Buffer overflow

CVE-2021-22893 (10.0) Use-after-free

CVE-2020-8260 (7.2) Unrestricted file upload

CVE-2020-8243 (7.2) Code injection Juniper - Junos OS CVE-2023-36844 (5.3) PHP external variable modification

CVE-2023-36845 (9.8) PHP external variable modification

CVE-2023-36846 (5.3) Missing authentication

CVE-2023-36847 (5.3) Missing authentication

CVE-2023-36851 (5.3) Missing authentication

CVE-2020-1631 (9.8) Path Traversal F5 Networks - BIG-IP CVE-2023-46748 (8.8) SQL-injection

CVE-2023-46747 (9.8) Authentication bypass

CVE-2022-1388 (9.8) Missing authentication

CVE-2021-22991 (9.8) Buffer overflow

CVE-2021-22986 (9.8) Server-Side Request Forgery

CVE-2020-5902 (9.8) Path traversal Netscaler (Citrix) - ADC / Gateway CVE-2023-6548 (8.8) Code injection

CVE-2023-6549 (8.2) Buffer overflow

CVE-2023-4966 (9.4) Buffer overflow

CVE-2023-3519 (9.8) Code Injection

CVE-2022-27518 (9.8) Improper control of a resource

CVE-2020-8193 (6.5) Improper authentication

CVE-2020-8195 (6.5) Path traversal

CVE-2020-8196 (4.3) Improper authentication SonicWall - SonicOS / SMA100 / SRA / Email Security CVE-2021-20016 (9.8) SQL-injection

CVE-2021-20021 (9.8) Improper privilege management

CVE-2021-20022 (7.2) Unrestricted file upload

CVE-2021-20023 (4.9) Path traversal

CVE-2021-20028 (9.8) SQL-injection

CVE-2021-20038 (9.8) Buffer overflow

CVE-2020-5135 (9.8) Buffer overflow Sophos - Firewall / SFOS / SG UTM CVE-2022-3236 (9.8) Code injection

CVE-2022-1040 (9.8) Authentication bypass

CVE-2020-25223 (9.8) Command injection

CVE-2020-12271 (10.0) SQL-injeciton Zyxel - ATP, USG FLE, ZyWall CVE-2023-33009 (9.8) Buffer overflow

CVE-2023-33010 (9.8) Buffer overflow

CVE-2023-28771 (9.8) Command injection

CVE-2022-30525 (9.8) Command injection

CVE-2020-29583 (9.8) Hard-coded credentials Fortinet - FortiOS / FortiProxy / FortiClient EMS CVE-2024-21762 (9.8) Out-of-bound write

CVE-2023-48788 (9.8) SQL-injection

CVE-2023-27997 (9.8) Heap-based buffer overflow

CVE-2022-41328 (7.1) Path traversal

CVE-2022-42475 (9.8) Heap-based buffer overflow

CVE-2022-40684 (9.8) Authentication bypass

CVE-2021-44168 (7.8) Arbitrary file download

CVE-2020-12812 (9.8) Improper authentication Palo Alto Networks - PAN-OS CVE-2024-3400 (10.0) Command injection

CVE-2022-0028 (8.6) Filtering policy misconfiguration

CVE-2020-2021 (10.0) Authentication bypass

Uit het overzicht blijkt dat de edge devices met veelvoorkomende en algemeen bekende kwetsbaarheden te maken hebben. Zo zijn beveiligingslekken als SQL-injection, buffer overflows en path traversal, alsmede hun oplossingen, al decennia bekend. De Amerikaanse autoriteiten riepen leveranciers en fabrikanten onlangs nog op een einde te maken aan path traversal en SQL-injection in hun producten.

Adviezen

De overheidsinstanties die de afgelopen maanden voor de aanvallen op edge devices waarschuwden kwamen ook met adviezen. Zo riep het Noorse Cyber Security Center (NCSC) organisaties op om hun SSLVPN's volledig te vervangen door veiligere alternatieven. Volgens het NCSC zijn in vpn-oplossingen die van SSL/TLS gebruikmaken, en daardoor ook bekendstaan als SSLVPN's, WebVPN's of clientless VPN's, al langere tijd kritieke kwetsbaarheden aanwezig waar aanvallers misbruik van maken. Vanwege deze aanvallen is het verstandig om SSLVPN's uit te faseren, aldus het NCSC. Dat adviseert als veiliger alternatief het gebruik van IPsec (Internet Protocol Security) met IKEv2 (Internet Key Exchange).

Het Nederlandse Cyber Security Centrum adviseert het in kaart brengen van edge devices, het monitoren van de apparaten, het opstellen van patchmanagement, het zo snel mogelijk installeren van beveiligingsupdates, het vervangen van niet meer ondersteunde hard- en software, het regelmatig uitvoeren van risicoanalyses en het hanteren van het 'Assume breach' principe. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt onder andere aan het uitschakelen van onnodige diensten, het beperken van fysieke toegang en het gebruik van access lists voor remote beheer.

Het Franse Computer Emergency Response Team (CERT-FR) adviseert om beheerinterfaces van edge devices niet direct vanaf internet benaderbaar te maken, het doorsturen van logbestanden en het geregeld controleren van de integriteit van de apparaten als dit mogelijk is. Het Britse NCSC roept bedrijven op om fabrikanten van de netwerkperimeter te weren als ze niet kunnen aantonen dat hun producten secure by design zijn.