Britse overheid waarschuwt: meeste firewalls en vpn-servers zijn niet veilig
De meeste firewalls, vpn-servers en andere producten op de netwerkperimeter zijn niet veilig en aanvallers maken hier steeds vaker misbruik van, zo stelt het Britse National Cyber Security Centre (NCSC). Volgens het Britse cyberagentschap moeten organisaties bij hun leveranciers bewijs van de veiligheid van producten eisen en gaan we uiteindelijk naar een situatie waarbij er geen netwerkpoorten meer vanaf het internet toegankelijk zijn.
Het Britse NCSC stelt dat aanvallers hun aandacht aan het verleggen zijn van het aanvallen van clientsoftware naar het aanvallen van netwerkapparaten zoals firewalls en vpn's. "Aanvallers hebben ontdekt dat de meeste producten die vanaf de perimeter toegankelijk zijn, niet 'secure by design' zijn, en kwetsbaarheden dus eenvoudiger te vinden zijn dan in populaire clientsoftware."
Zodra een vpn of firewall is gecompromitteerd kan een aanvaller het netwerk verder binnendringen. Een bijkomend voordeel voor aanvallers is dat degelijke logging op dergelijke apparaten vaak ontbreekt. De afgelopen maanden hebben er meerdere zeroday-aanvallen plaatsgevonden waarbij aanvallers misbruik maakten van onbekende kwetsbaarheden in netwerkproducten van bijvoorbeeld Ivanti en NetScaler. Zodra een zerodaylek bekend wordt blijkt dat andere aanvallers er ook op grote schaal misbruik van maken.
"Het vinden van zerodaylekken klinkt misschien ingewikkeld, maar veel van deze algemeen bekende klasse van kwetsbaarheden zijn zeer eenvoudig te vinden en misbruiken", merkt het NCSC op. Daarbij wordt gewezen naar een keynote van beveiligingsonderzoeker Dave Aitel. Die stelde dat het vinden van kwetsbaarheden alleen lastig is als je naar lastige kwetsbaarheden zoekt. "Je moet de eenvoudige zoeken", merkte hij op.
Volgens het NCSC zijn de Britse overheid en partners bezig om ervoor te zorgen dat producten 'secure by design' worden. "Maar dit kost tijd. Ondertussen zullen aanvallers toegang tot netwerken blijven krijgen via producten die vanaf het internet toegankelijk zijn", zo stelt het cyberagentschap. Dat vindt dat er druk op leveranciers moet worden gezet. "We moeten allemaal eisen dat leveranciers kunnen bewijzen dat de software die ze verkopen secure by design is." Wanneer een leverancier dit bewijs niet kan geven, moeten producten van het bedrijf niet in het netwerk worden geplaatst.
"Helaas liggen de dagen dat je met een volledig gepatchte perimeter tegen nagenoeg alle aanvallers was beschermd lang achter ons", besluit het NCSC. "Alles op de perimeter, ook wanneer het volledig is gepatcht, bevindt zich steeds vaker in de vuurlinie, en tenzij je kunt bewijzen dat het aanvallen kan weerstaan, moet je overwegen om het product te verwijderen. We gaan naar een toekomst waar organisaties zich moeten richten op een netwerkscan waarbij er geen toegankelijke poorten zijn." Onlangs waarschuwde het Nederlandse Nationaal Cyber Security Centrum (NCSC) ook dat publiek benaderbare edge devices zoals firewalls, vpn-servers en e-mailservers steeds interessanter voor aanvallers worden.
Dat is dan het einde van cloud en digitaal.
Allemaal terug naar papier en podlood.
Jammer, helaas.
Leuker kunnen we het niet maken, wel saaier en veiliger.
/sarcasme
https://www.ncsc.gov.uk/blog-post/products-on-your-perimeter
- De eerste ingang is vaak een netwerk verbinding welke met speciale hardware de boel gericht doorlaat.... firewall
- vpn's een overeenkomstig iets met speciale hardware en een nuancering.
Een poging om het interne bedrijfsnetwerk via allerlei encryptie toch buiten de fysieke beperkte bedrijfs omgeving te krijgen.
Met de meeste heb je het over die aparte hardware netwerk aansluitingen waar alsnog een lading aan software op staat.
De waslijst van problemen in deze specifieke oplossingen zal lang zijn.
Zoek bij de CVE's ////
Voorbeeld van een geval waar men via een VPN connectie een netwerk binnenkwam:
https://gbhackers.com/avast-hacked/
Dit speelt dus al geruime tijd.
Ook Nederlandse overheid waarschuwt hiervoor met name voor de pogingen van statelijke actoren:
https://www.ncsc.nl/actueel/nieuws/2020/mei/25/verhoogde-scanactiviteiten-door-statelijke-actoren-naar-vpn-kwetsbaarheden
Eerst zeggen ze 'alles wat aan internet hangt is onveiliger dan het zelf doen, maar vervolgens geven ze aan dat ze vinden dat alles cloud moet worden en saas... dat lijkt me tegenstrijdig.
verder moet je je perimiter apparatuur volledig patchen, dan ben je veilig, maar even laten 'zelfs gepatchte systemen zijn zo lek als een mandje'...
Alsof een CEO en een SME samen een persbericht opgezet hebben zonder te overleggen met elkaar.. onsamenhangend stukje tekst wat nergens heen gaat en niets zegt, en alles wat het zegt even later zichzelf tegenspreekt..
op verjaardagen heb je ook van die mensen die zichzelf graag horen praten.
Dan moet je ook gelijk afvragen, waarom ze alles in de cloud willen draaien of saas moet worden.
Voor controle natuurlijk. Het gaat niet om veiligheid voor de eindgebruiker,
daar hebben ze zogezegd maling aan.
Het gaat om sneller naar totale controle en surveillance te komen,
om ongevallige info beter te kunnen bestrijden en bestraffen.
of omdat on-prem zaken steeds moeilijker door een organisatie zelf te beveiligen zijn. Gebrek aan personeel, snelheid, complexe producten on-prem, allemaal redenen waardoor je als organisatie wellicht niet sneller bent dan een groot cloud bedrijf met dedicated security teams. Je zou verwachten dat de grote cloud leveranciers meer veiligheidsmensen en capabilities in huis hebben dan een bedrijf met eigen IT. Dat is althans de onderbewuste aanname bij veel klanten. Het is ..... dus dat moet wel veilig zijn.
Voorbeeld van een geval waar men via een VPN connectie een netwerk binnenkwam:
https://gbhackers.com/avast-hacked/
Dit speelt dus al geruime tijd.
Ja lijkt me ook. Het is meer het gebruik en de configuratie dan dat echt vpn fout gaat. Als je een standaard installatie doet van libreswan/strongswan met certificates lijkt het me toch niet zo dat dat even gehacked wordt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
