NCSC: ‘Controleer Pulse Secure VPN-servers dagelijks’

Vrouw verbreekt de verbinding met VPN-server op haar laptop

Het Nationaal Cyber Security Centrum (NCSC) raadt systeembeheerders aan die met de VPN-software van Pulse Secure werken, deze dagelijks te controleren. Het beveiligingslek vormt een groot risico en een beveiligingsupdate is momenteel nog niet beschikbaar. Deze is er waarschijnlijk pas in mei.

Dat schrijft het NCSC in een persbericht.

Ongeautoriseerde toegang en Remote Code Execution

Dinsdag waarschuwde Pulse Secure dat er zich een ernstige kwetsbaarheid bevindt in de software Pulse Connnect Secure. In een blog schreef het bedrijf dat het om vier kwetsbaarheden gaat. Drie daarvan -CVE-2019-11510, CVE-2020-8243 en CVE-2020-8260- zijn bekende kwetsbaarheden waarvoor Pulse Secure een patch voor heeft klaarstaan. ‘Een beperkt aantal klanten’ had deze updates nog niet geïnstalleerd, waardoor ze kwetsbaar waren voor aanvallen van buitenaf.

Naast de drie bekende kwetsbaarheden ontdekte Pulse Secure ook een onbekende kwetsbaarheid of zeroday exploit. Deze is omgedoopt tot CVE-2021-22893. Hiermee is het mogelijk om authenticatie te omzeilen en op afstand kwaadaardige code uit te voeren op het Pulse Connect Secure-systeem (Remote Code Execution). Dat is ‘een zeer gering aantal klanten’ overkomen, zo zegt Pulse Secure.

Volgens de securityanalisten van beveiligingsbedrijven FireEye en Mandiant kunnen kwaadwillenden via de kwetsbaarheid inloggegevens van Pulse Secure VPN-servers stelen. Daarmee kunnen ze via legitieme accounts het bedrijfsnetwerk lateraal verder binnendringen. Om toegang te behouden maken de hackers gebruik van aangepaste Pulse Secure-bestanden en scripts op de VPN-server. De kwetsbaarheid heeft een CVSS3.1-score van 10. Dat is de hoogst mogelijke score, wat inhoudt dat het lek zeer kritiek is.

‘Voer dagelijks controles uit totdat een patch beschikbaar is’

Pulse Secure zegt hard te werken aan een patch om het nieuwe beveiligingslek te dichten. Deze wordt naar verwachting in mei uitgerold. Pulse Secure heeft mitigerende maatregelen gedeeld en roept klanten op om de wachtwoorden van gebruikers te resetten als deze zijn misbruikt. Tot slot heeft Pulse Secure een Integrity Checker Tool beschikbaar gesteld waarmee de integriteit van bestanden op de Pulse Connect Secure-server kan worden gecontroleerd.

Het NCSC adviseert systeembeheerders om deze tool te gebruiken nog voordat ze patches installeren of mitigerende maatregelen doorvoeren. Als deze tool aanslaat en ongeautoriseerde aanpassingen constateert, doen systeembeheerders er goed aan om onderzoek uit te voeren naar de mogelijke blootstelling. Tot slot raadt het NCSC aan om de Integrity Checker Tool periodiek te gebruiken, ‘bij voorkeur ten minste dagelijks’.

Inloggegevens honderden Nederlandse bedrijven op straat

Het is niet de eerste keer dat Pulse Secure in verband wordt gebracht met een ernstig beveiligingslek. In augustus 2020 maakte een hacker misbruik van een kwetsbaarheid in de zakelijke software van het bedrijf. Hierdoor had hij zonder wachtwoord volledige toegang tot de Pulse Connect Secure-server en wist hij de gebruikersnamen en wachtwoorden van meer dan 900 Nederlandse bedrijven te bemachtigen. Deze plaatste hij op een forum waar veel Russische hackers komen.

Beveiligingsdeskundige Matthijs Koot informeerde het NCSC hierover. Het adviesorgaan mocht echter niet ingrijpen en de gedupeerde bedrijven op de hoogte brengen. De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt namelijk dat het NCSC alleen de Rijksoverheid en bedrijven uit de vitale sector -zoals financiële instellingen en telecombedrijven- over ransomware-aanvallen en andere cyberdreigingen mag inlichten.

Demissionair minister Grapperhaus wil ruimere bevoegdheden NCSC

De Cyber Security Raad vroeg in een open brief gericht aan demissionair minister van Justitie en Veiligheid Ferd Grapperhaus om een ‘spoedreparatie’. “Gezien de urgentie van de vorming van het Landelijk Dekkend Stelsel (LDS) is de raad verder van oordeel dat niet kan worden gewacht met het delen van de incident informatie met de Organisaties die Kenbaar Tot Taak (OKTT’s) totdat de gehele wetswijzigingsprocedure doorlopen is. Er is alle aanleiding de Wbni toe te passen zoals deze is bedoeld”, zo schreef de CSR destijds.

Minister Grapperhaus werkt op dit moment aan een wetsvoorstel die ruimere bevoegdheden toekent aan het NCSC. Kern van het voorstel is dat het NCSC in de toekomst ook dreigingsinformatie mag delen met niet-vitale bedrijven. Het streven is om dit wetsvoorstel aankomende zomer ter consultatie voor te leggen aan de samenleving. Burgers en organisaties mogen dan input leveren over het voorstel.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen