Vrijdagmiddag, half vijf: je staat op het punt je laptop dicht te klappen wanneer er plots een melding binnenkomt. Er is wéér een ernstige kwetsbaarheid gevonden in een bekende VPN-oplossing. Terwijl je collega’s al met één voet buiten de deur staan, realiseer jij je één ding: dit kan ernstig misgaan. Patchen, onderzoeken, mitigeren. Het weekend begint nog niet.
We zien in de praktijk dat edge devices, zoals firewalls en VPN-oplossingen, steeds vaker – in pakweg 20 tot 25 procent van geslaagde aanvallen – worden misbruikt als toegangspoort voor cybercriminelen. Ironisch genoeg worden deze apparaten juist ingezet om de beveiliging van bedrijfsnetwerken te versterken. Toch gaat het juist hier regelmatig mis. Recente voorbeelden hiervan zijn alle incidenten die veroorzaakt zijn door de Citrixbleed 2 kwetsbaarheid. Zo ging het Openbaar Ministerie langere tijd offline wegens de Citrix-kwetsbaarheid.
De impact van een gecompromitteerd edge device is vaak enorm. Aanvallers krijgen onbeperkte toegang tot kritieke systemen waardoor zij bestanden kunnen versleutelen of gevoelige gegevens kunnen stelen. Dat leidt tot grote financiële schade, reputatieverlies en langdurige downtime.
Edge devices: onzichtbaar, onmisbaar en kwetsbaar
Wat zijn edge devices en waarom zijn ze zo kwetsbaar? Hoe profiteren aanvallers hiervan? En vooral: wat moet je doen om te voorkomen dat jouw organisatie het volgende slachtoffer wordt.
Edge devices zijn apparaten die het bedrijfsnetwerk scheiden van het publieke internet. Denk hierbij aan firewalls, routers en VPN-oplossingen. Deze apparaten staan letterlijk aan de rand (‘edge’) van je bedrijfsnetwerk en regelen alle internetverbindingen van buiten naar binnen en vice versa. Juist die edge devices moeten veilig zijn, zou je denken. Maar tijdens onze incident response-onderzoeken blijkt keer op keer dat die edge devices ernstige kwetsbaarheden kunnen bevatten.
Waarom gaat het steeds mis?
Edge devices draaien meestal op door de leverancier zelf ontwikkelde firmware die gebouwd is op sterk verouderde componenten, zoals oude Linux-kernels of kwetsbare softwarebibliotheken. Of updates hiervoor worden doorgevoerd, is volledig afhankelijk van de leverancier die nogal eens traag reageert en/of weinig transparant communiceert. Bovendien is het onzeker in hoeverre leveranciers de veiligheid van deze systemen gedurende de hele levensduur blijven toetsen. Door deze omstandigheden blijven kritieke kwetsbaarheden in de praktijk vaak weken of zelfs maanden ongerepareerd.
Daarnaast worden edge devices ontworpen met het oog op gebruiksgemak en uitgebreide functionaliteit. Leveranciers voegen allerlei features toe om het beheer of de gebruikerservaring te vereenvoudigen, zoals webinterfaces, remote management en automatische configuratie. Daarbij lijkt beveiliging niet vanaf het begin als kernprincipe te zijn meegenomen in het ontwerp van deze functies, en lijken deze onderdelen bovendien onvoldoende getest te zijn. Het resultaat is apparatuur die prettig in gebruik is, maar ook veel extra aanvalsoppervlak biedt. Recente kwetsbaarheden in producten van Citrix, Pulse Secure en Fortinet laten dit pijnlijk zien.
Edge devices zijn aantrekkelijk voor aanvallers om een paar simpele redenen:
Ze zijn direct verbonden met internet en geven direct toegang tot het bedrijfsnetwerk. Bovendien vallen ze vaak buiten zicht van de meeste securitymaatregelen.
Een praktijkvoorbeeld
In één van onze cases leidde een enkele kwetsbaarheid binnen drie dagen tot een geslaagde ransomware-aanval:
- De start – Een VPN-apparaat had maanden eerder een kritieke kwetsbaarheid gehad. Er was weliswaar gepatcht, maar de backdoor die al was geplaatst bleef openstaan na het patchen van het systeem.
- Geen logging – Er waren geen centrale logbestanden en het apparaat werd direct na ontdekking van de aanval uitgezet, waardoor vrijwel alle interne logdata verloren gingen.
- Gestolen credentials – Een domeinbeheerder logde in, de aanvaller keek mee en kreeg direct Domain Admin-rechten. Het maakte in dit geval niet uit dat er Multi-Factor-Authenticatie was ingesteld voor het account.
- Geen segmentatie – De VPN had toegang tot álle interne servers.
- Geen detectie – Geen EDR, geen SIEM, geen alerting. Het incident werd pas ontdekt toen ransomware tientallen servers had versleuteld.
De gevolgen: meer dan 800 systemen versleuteld, drie weken downtime en een directe financiële schade van ruim 2,5 miljoen euro.
De meest gemaakte fouten en wat daaraan te doen
Zoals het bovenstaande praktijkvoorbeeld laat zien moet ook een edge device, net als het besturingssysteem en softwareapplicaties zo snel mogelijk gepatcht worden. Maar dat is slechts de eerste stap, daarna moet er goed onderzocht worden of er al een aanvaller binnen is geweest en of er achterdeurtjes zijn geplaatst. Daarvoor is forensisch onderzoek nodig en dat moet natuurlijk wel mogelijk zijn.
Voor die forensic readiness is het noodzakelijk dat er voldoende wordt gelogd – anders is niet te achterhalen wat er precies is gebeurd – en dat die logbestanden centraal worden opgeslagen. Als die logbestanden alleen in het edge device staan, gaan die natuurlijk verloren als het apparaat meteen wordt uitgeschakeld bij onraad. Forensisch bewijs is dan vernietigd.
Een ander belangrijk punt is het realiseren van adequate netwerksegmentatie, waardoor aanvallers zich niet meer ongehinderd door het netwerk kunnen bewegen. Voor de hand ligt ook dat toegang vanaf edge devices wordt beperkt tot de strikt noodzakelijke systemen.
Tot slot is het niet verstandig om te vertrouwen op lokale caching van credentials. Aanvallers kunnen in sommige gevallen makkelijk privileges verkrijgen door die credentials uit de cache te halen, óók als er Multi-Factor-Authentication voor deze gebruikers geactiveerd is. Ga er daarom na compromittatie van een edge device maar vanuit dat credentials zijn gestolen en reset meteen de wachtwoorden.
Conclusie en oproep tot actie
Maar goed, dat had allemaal moeten gebeuren. Maar op die vrijdagavond, als die zero day-melding komt, is het daarvoor te laat. Het praktijkvoorbeeld hierboven is een worst-case-scenario en helaas bepaald geen zeldzaamheid. Wat moet je in zo’n geval doen om de schade zoveel mogelijk te beperken? (Zodat je vrijdag nog voor middernacht thuis bent…)
Vrijdagmiddag, half vijf: je staat op het punt je laptop dicht te klappen wanneer er plots een melding binnenkomt. Er is wéér een ernstige kwetsbaarheid gevonden in een bekende VPN-oplossing. De kwetsbaarheid geeft een ongeautoriseerde derde mogelijk directe toegang tot het besturingssysteem van de VPN-oplossing. Jullie draaien inmiddels een gepatchte versie, maar een tijdje terug was deze wel kwetsbaar. Dat betekent dat patchen alleen onvoldoende zekerheid biedt, er kan immers al een achterdeur zijn geplaatst.
Je besluit direct vervolgstappen te nemen, ook al is er nog weinig informatie bekend. Omdat dit geen moment is om te gokken, bel je de securitypartner van je organisatie. Samen bespreek je de situatie en stel je een plan op dat begint bij het beperken van eventuele risico’s.
Stap 1: isoleren
De VPN-oplossing wordt uit voorzorg volledig geïsoleerd van de rest van het netwerk. Belangrijk: je laat het apparaat aanstaan, zodat mogelijke sporen behouden blijven. Als je hem nu uitzet, verdwijnt er mogelijk cruciaal onderzoeksmateriaal.
Stap 2: terugkijken
Je duikt in de historische meldingen van je EDR, SIEM en AV-oplossingen. Waren er de afgelopen weken signalen die te snel als false positive of niet schadelijk zijn afgedaan? Met de nieuwe kennis kijk je er opnieuw kritisch naar. Het lijkt erop dat er geen verdachte activiteiten zijn geweest, maar deze controle geeft extra zekerheid.
Stap 3: credentials resetten
Omdat je ervan uitgaat dat een aanvaller mogelijk inloggegevens heeft buitgemaakt via de VPN-oplossing, besluit je om alle accounts met administratieve rechten direct een wachtwoordreset te geven. Door dit te beperken tot de admin-accounts dek je het grootste risico af, terwijl de werkdruk en impact beheersbaar blijven.
Deze drie acties zorgen ervoor dat je de grootste risico’s van het incident hebt ingedamd. Jij kunt op vrijdagavond met een gerust hart naar huis. Maar daarmee is het werk niet gedaan. Het weekend of de eerstvolgende werkdag start het échte onderzoek.
Stap 4: forensisch onderzoek
Je onderzoekt de VPN-oplossing grondig. Daarbij gebruik je meerdere bronnen:
- loggegevens van de VPN-oplossing van en naar het internet, en naar de rest van het netwerk;
- logs van het apparaat zelf, die dankzij centrale opslag met lange retentie beschikbaar zijn;
- een diepgaande analyse van de VPN-oplossing zelf.
Stap 5: bevindingen analyseren
Uit dit onderzoek blijkt dat er inderdaad een backdoor is geplaatst. Omdat de VPN gebruikmaakt van Windows Domain Authentication, neem je geen enkel risico en laat je preventief alle gebruikers die authenticeren via de VPN een wachtwoordreset uitvoeren. Daarnaast wordt de VPN-oplossing teruggezet naar fabrieksinstellingen. Na een controle van de configuratie zet je deze weer terug, zodat niet alles vanaf de grond aan opgebouwd hoeft te worden.
Stap 6: uitsluiten van bredere impact
Uit de analyse van de netwerkstromen blijkt dat er geen verdachte pogingen zijn gedaan om verder door het netwerk te bewegen. Je controleert de segmentatie, en deze zou een aanval in dit geval al hebben bemoeilijkt, maar er lijken ook geen pogingen gedaan te zijn om dit te proberen.
Stap 7: afronden
Gezamenlijk met je securitypartner trek je de conclusie: de compromittatie is beperkt gebleven tot de VPN-oplossing, zonder verdere opvolging door de aanvaller.
Omdat je als organisatie voorbereid was op dit scenario door:
- loggegevens (inclusief netwerkverkeer) van edge devices centraal op te slaan,
- netwerksegmentatie van en naar edge devices goed in te richten, en
- de juiste handelingen uit te voeren
kun je het incident nu met een gerust hart en op de juiste manier afsluiten.
Dit is een ingezonden bijdrage van Fox-IT. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.