‘Honderden bedrijven kwetsbaar door lek VPN-dienst Pulse Secure’

De interne netwerken van honderden grote bedrijven en overheidsorganisaties stonden maandenlang open. De bedrijven hadden een update, die een lek in de VPN-dienst van Pulse Secure dicht, niet geïnstalleerd. Ook nu staan nog 140 systemen open, onder meer van grote bedrijven.

Het lek in de VPN-dienst van Pulse Secure werd in maart dit jaar gevonden en gemeld door twee Taiwanese onderzoekers. Via het lek kunnen aanvallers via het internet bestanden uitlezen, en wachtwoorden en gebruikersnamen achterhalen. Daarnaast kunnen hackers de VPN-verbinding gebruiken alsof ze zelf een werknemer van het bedrijf zijn, schrijft De Volkskrant

Pulse Secure, één van de vier belangrijkste VPN-aanbieders met wereldwijd twintigduizend klanten, kwam snel met een oplossing en bracht in april dit jaar een patch uit. Daarbij adviseerde het met klem om zo snel mogelijk te updaten. Dat advies herhaalde ook het Nationaal Cyber Security Center (NCSC).

Onderzoekers delen bevindingen

De onderzoekers zijn in augustus aanwezig op de hackersconferentie Blackhat, waar ze hun bevindingen delen. Ze vertellen hoe ze de kwetsbaarheid ontdekten en hoe het lek te misbruiken is. 

Het NCSC besloot vervolgens opnieuw een melding te maken. Waar het de kans op misbruik eerder nog laag inschatte, is dat nu hoog. Het advies blijft hetzelfde: installeer de update van Pulse Secure zo snel mogelijk. 

Op 24 augustus ontdekt beveiligingsonderzoeker Matthijs Koot echter dat de update lang niet door iedereen geïnstalleerd was. Hij ziet bij eigen onderzoek dat tientallen bedrijven in Nederland nog steeds kwetsbaar zijn. In totaal gaat het om 538 kwetsbare systemen. “In veel gevallen betrof het productieomgevingen en stonden interne netwerken wagenwijd open. Ik schrok me rot.”

KLM en Justitie

Koot heeft zijn bevindingen gemeld bij het NCSC. Welke bedrijven en instanties precies kwetsbaar zijn, wil hij niet zeggen. Wel vertelt hij dat twee van de partijen cruciaal zijn voor de nationale veiligheid. Die systemen zijn inmiddels offline gehaald. Volgens bronnen van De Volkskrant zijn ook KLM, Shell en het ministerie van Justitie en Veiligheid kwetsbaar. 

De VPN-verbinding was in veel gevallen bovendien niet aan een testomgeving gekoppeld, maar aan de productieomgeving. Dat houdt in dat werknemers de VPN-dienst gebruikten om toegang tot systemen en bestanden te krijgen. Dat konden aanvallers dus ook. 

Het NCSC adviseert nog altijd om de update zo snel mogelijk te installeren. Meer kan de organisatie niet doen, omdat het geen maatregelen kan afdwingen bij bedrijven. Organisaties zijn dus zelf verantwoordelijk voor het nemen van maatregelen, zoals het updaten van systemen.