Veelgebruikte VPN’s Fortigate en Pulse Secure doelwit van cyberaanvallen

De veelgebruikte VPN’s Fortigate en Pulse Secure zijn het doel van cyberaanvallen waarmee gevoelige gebruikersgegevens geprobeerd worden te bemachtigen. De VPN’s, die samen op zo’n 530.000 servers geïnstalleerd zijn, hebben een aantal zwakke punten als ze niet gepatcht zijn. 

De zwakke punten in deze VPN’s kunnen worden misbruikt door het verzenden van webrequests aan servers. Een bepaalde serie karakters in de requests maakt het voor hackers mogelijk om gegevens te bemachtigen. Met de aanvallen proberen hackers bijvoorbeeld encryptiesleutels, wachtwoorden en data in het algemeen buitmaken.

De VPN’s hebben verder kwetsbaarheden die door hackers gebruikt kunnen worden voor het op afstand draaien van kwaadaardige code. Ook het op afstand veranderen van wachtwoorden behoort tot de mogelijkheden. Patches voor de kwetsbaarheden waren al beschikbaar in april voor Pulse Secure en in mei voor Fortigate. Het patchen kan echter voor organisaties een cruciale onderbreking in hun processen betekenen. Dit is waarschijnlijk de reden dat er bijvoorbeeld voor de Pulse Secure VPN nog steeds 2658 kwetsbare endpoints zijn.

Behalve bedrijven maken ook overheidsorganisaties, onderwijsinstellingen en ziekenhuizen deel uit van de plekken waar kwetsbare servers in gebruik zijn. Succesvolle aanvallen door hackers kunnen dus een breed spectrum aan organisaties treffen.

Opportunistische aanvallen

Kevin Beaumont, een onafhankelijk onderzoeker, meldde donderdag dat hackers grote hoeveelheden code het internet op stuurden om servers met de zwakke punten te pakken te krijgen. Troy Mursch, onderzoeker bij security-onderzoeksfirma Bad Packets, vertelt dat eventuele buitgemaakte gegevens op hun beurt voor kwaadaardige doeleinden gebruikt kunnen worden.

“Deze scans zijn gericht op endpoints die kwetsbaar zijn voor het willekeurig lezen van bestanden, wat leidt tot het vrijgeven van gevoelige informatie over encryptiesleutels en wachtwoorden van gebruikers,” meldt Mursch aan Ars Technica. “Deze gegevens kunnen vervolgens worden gebruikt om verdere command-injection-aanvallen uit te voeren en toegang te krijgen tot privé-netwerken, waardoor verdere kwaadwillige activiteiten mogelijk worden.”