image

Britse overheid waarschuwt: meeste firewalls en vpn-servers zijn niet veilig

donderdag 29 februari 2024, 15:01 door Redactie, 12 reacties
Laatst bijgewerkt: 29-02-2024, 16:41

De meeste firewalls, vpn-servers en andere producten op de netwerkperimeter zijn niet veilig en aanvallers maken hier steeds vaker misbruik van, zo stelt het Britse National Cyber Security Centre (NCSC). Volgens het Britse cyberagentschap moeten organisaties bij hun leveranciers bewijs van de veiligheid van producten eisen en gaan we uiteindelijk naar een situatie waarbij er geen netwerkpoorten meer vanaf het internet toegankelijk zijn.

Het Britse NCSC stelt dat aanvallers hun aandacht aan het verleggen zijn van het aanvallen van clientsoftware naar het aanvallen van netwerkapparaten zoals firewalls en vpn's. "Aanvallers hebben ontdekt dat de meeste producten die vanaf de perimeter toegankelijk zijn, niet 'secure by design' zijn, en kwetsbaarheden dus eenvoudiger te vinden zijn dan in populaire clientsoftware."

Zodra een vpn of firewall is gecompromitteerd kan een aanvaller het netwerk verder binnendringen. Een bijkomend voordeel voor aanvallers is dat degelijke logging op dergelijke apparaten vaak ontbreekt. De afgelopen maanden hebben er meerdere zeroday-aanvallen plaatsgevonden waarbij aanvallers misbruik maakten van onbekende kwetsbaarheden in netwerkproducten van bijvoorbeeld Ivanti en NetScaler. Zodra een zerodaylek bekend wordt blijkt dat andere aanvallers er ook op grote schaal misbruik van maken.

"Het vinden van zerodaylekken klinkt misschien ingewikkeld, maar veel van deze algemeen bekende klasse van kwetsbaarheden zijn zeer eenvoudig te vinden en misbruiken", merkt het NCSC op. Daarbij wordt gewezen naar een keynote van beveiligingsonderzoeker Dave Aitel. Die stelde dat het vinden van kwetsbaarheden alleen lastig is als je naar lastige kwetsbaarheden zoekt. "Je moet de eenvoudige zoeken", merkte hij op.

Volgens het NCSC zijn de Britse overheid en partners bezig om ervoor te zorgen dat producten 'secure by design' worden. "Maar dit kost tijd. Ondertussen zullen aanvallers toegang tot netwerken blijven krijgen via producten die vanaf het internet toegankelijk zijn", zo stelt het cyberagentschap. Dat vindt dat er druk op leveranciers moet worden gezet. "We moeten allemaal eisen dat leveranciers kunnen bewijzen dat de software die ze verkopen secure by design is." Wanneer een leverancier dit bewijs niet kan geven, moeten producten van het bedrijf niet in het netwerk worden geplaatst.

"Helaas liggen de dagen dat je met een volledig gepatchte perimeter tegen nagenoeg alle aanvallers was beschermd lang achter ons", besluit het NCSC. "Alles op de perimeter, ook wanneer het volledig is gepatcht, bevindt zich steeds vaker in de vuurlinie, en tenzij je kunt bewijzen dat het aanvallen kan weerstaan, moet je overwegen om het product te verwijderen. We gaan naar een toekomst waar organisaties zich moeten richten op een netwerkscan waarbij er geen toegankelijke poorten zijn." Onlangs waarschuwde het Nederlandse Nationaal Cyber Security Centrum (NCSC) ook dat publiek benaderbare edge devices zoals firewalls, vpn-servers en e-mailservers steeds interessanter voor aanvallers worden.

Reacties (12)
29-02-2024, 15:56 door Anoniem
Sluit poort 443 ook meteen af dan zijn we klaar met internet.
29-02-2024, 16:27 door Anoniem
Wat precies zijn "de meeste firewalls" en "vpns"? Hier kan ik niks mee!
29-02-2024, 16:32 door Anoniem
Volgens het Britse cyberagentschap [...] gaan we uiteindelijk naar een situatie waarbij er geen netwerkpoorten meer vanaf het internet toegankelijk zijn.

Dat is dan het einde van cloud en digitaal.

Allemaal terug naar papier en podlood.
Jammer, helaas.
Leuker kunnen we het niet maken, wel saaier en veiliger.

/sarcasme
29-02-2024, 16:35 door Anoniem
de bronvermelding van dit artikel zou niet misstaan

https://www.ncsc.gov.uk/blog-post/products-on-your-perimeter
29-02-2024, 16:55 door karma4
Door Anoniem: Wat precies zijn "de meeste firewalls" en "vpns"? Hier kan ik niks mee!
Als er van buiten naar bedrijfsomgeving gegaan wordt:
- De eerste ingang is vaak een netwerk verbinding welke met speciale hardware de boel gericht doorlaat.... firewall
- vpn's een overeenkomstig iets met speciale hardware en een nuancering.
Een poging om het interne bedrijfsnetwerk via allerlei encryptie toch buiten de fysieke beperkte bedrijfs omgeving te krijgen.
Met de meeste heb je het over die aparte hardware netwerk aansluitingen waar alsnog een lading aan software op staat.
De waslijst van problemen in deze specifieke oplossingen zal lang zijn.
Zoek bij de CVE's ////
29-02-2024, 23:20 door Anoniem
Wordt soms toegeschreven aan Chinese hack-groepen.

Voorbeeld van een geval waar men via een VPN connectie een netwerk binnenkwam:
https://gbhackers.com/avast-hacked/

Dit speelt dus al geruime tijd.
29-02-2024, 23:40 door Anoniem
@karma4,

Ook Nederlandse overheid waarschuwt hiervoor met name voor de pogingen van statelijke actoren:
https://www.ncsc.nl/actueel/nieuws/2020/mei/25/verhoogde-scanactiviteiten-door-statelijke-actoren-naar-vpn-kwetsbaarheden
01-03-2024, 10:06 door Anoniem
Het hele bericht staat vol tegenstrijdigheden...
Eerst zeggen ze 'alles wat aan internet hangt is onveiliger dan het zelf doen, maar vervolgens geven ze aan dat ze vinden dat alles cloud moet worden en saas... dat lijkt me tegenstrijdig.

verder moet je je perimiter apparatuur volledig patchen, dan ben je veilig, maar even laten 'zelfs gepatchte systemen zijn zo lek als een mandje'...

Alsof een CEO en een SME samen een persbericht opgezet hebben zonder te overleggen met elkaar.. onsamenhangend stukje tekst wat nergens heen gaat en niets zegt, en alles wat het zegt even later zichzelf tegenspreekt..

op verjaardagen heb je ook van die mensen die zichzelf graag horen praten.
01-03-2024, 13:16 door Anoniem
@ anoniem van 10.06 u. heden,

Dan moet je ook gelijk afvragen, waarom ze alles in de cloud willen draaien of saas moet worden.

Voor controle natuurlijk. Het gaat niet om veiligheid voor de eindgebruiker,
daar hebben ze zogezegd maling aan.

Het gaat om sneller naar totale controle en surveillance te komen,
om ongevallige info beter te kunnen bestrijden en bestraffen.
01-03-2024, 16:47 door Anoniem
@1366
of omdat on-prem zaken steeds moeilijker door een organisatie zelf te beveiligen zijn. Gebrek aan personeel, snelheid, complexe producten on-prem, allemaal redenen waardoor je als organisatie wellicht niet sneller bent dan een groot cloud bedrijf met dedicated security teams. Je zou verwachten dat de grote cloud leveranciers meer veiligheidsmensen en capabilities in huis hebben dan een bedrijf met eigen IT. Dat is althans de onderbewuste aanname bij veel klanten. Het is ..... dus dat moet wel veilig zijn.
01-03-2024, 21:05 door Anoniem
04-03-2024, 20:17 door Anoniem
Door Anoniem: Wordt soms toegeschreven aan Chinese hack-groepen.

Voorbeeld van een geval waar men via een VPN connectie een netwerk binnenkwam:
https://gbhackers.com/avast-hacked/

Dit speelt dus al geruime tijd.

Ja lijkt me ook. Het is meer het gebruik en de configuratie dan dat echt vpn fout gaat. Als je een standaard installatie doet van libreswan/strongswan met certificates lijkt het me toch niet zo dat dat even gehacked wordt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.