Achtergrond
image

Firewalls en vpn-servers onder vuur: landen slaan alarm over edge devices

zaterdag 15 juni 2024, 13:04 door Redactie, 16 reacties

De 'Citrix-files' op Nederlandse wegen van begin 2020 liggen alweer vier jaar achter ons, maar firewalls en vpn-servers worden een steeds geliefder doelwit van aanvallers en landen slaan nu alarm. Hoewel deze apparaten voor veel organisaties een beveiligingsdoel vervullen, zijn ze meestal niet met security in het achterhoofd ontwikkeld, aldus verschillende nationale cyberagentschappen. In dit achtergrondartikel kijkt Security.NL naar de recente ontwikkelingen, om wat voor kwetsbaarheden het gaat en welke adviezen overheidsinstanties geven. Het artikel zal daarnaast worden bijgewerkt in het geval van nieuwe aanvallen op edge devices.

Onder edge devices worden apparaten zoals firewalls, vpn-servers, routers en gateways verstaan. Ze vervullen vaak een belangrijke (beveiligings)rol binnen het netwerk of voor de organisatie. Het compromitteren van een edge device biedt allerlei voordelen voor een aanvaller. Zo is het mogelijk om het achterliggende netwerk aan te vallen, vertrouwelijke of gevoelige gegevens te onderscheppen of andere aanvallen uit te voeren. Doordat edge devices vaak niet goed worden gemonitord kan een compromittering vaak lang onopgemerkt blijven.

Citrix-files

Dat kwetsbaarheden in edge devices grote gevolgen kunnen hebben werd begin 2020 duidelijk, toen organisaties actief werden aangevallen via een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway. ADC is een server die organisaties tussen hun servers en het internet plaatsen. De primaire functie is het verdelen van inkomend verkeer over de beschikbare servers, zodat websites en applicaties snel en goed toegankelijk blijven. De luxere versies bieden ook bescherming tegen dos-aanvallen en een webapplicatiefirewall.

De gateway is een oplossing waarmee medewerkers van bedrijven op afstand toegang tot bedrijfsapplicaties, bedrijfsomgevingen en intranetten kunnen krijgen. Vanwege het risico op een succesvolle aanval besloten overheden, bedrijven en organisaties hun Citrix-servers begin 2020 uit te schakelen, wat volgens de ANWB voor langere files zorgde. De Onderzoeksraad voor Veiligheid (OVV) voerde zelfs een onderzoek uit naar de manier waarop de overheid met het Citrix-lek omging.

Inmiddels zijn we sinds dit betreffende Citrix-lek ruim vier jaar verder, maar waarschuwde de MIVD deze week nog dat aanvallers vorig jaar 20.000 FortiGate vpn-systemen hadden gecompromitteerd. Ook edge devices van Ivanti, Barracuda, Check Point, Sophos, Cisco, Netscaler (zoals Citrix nu heet), SonicWall, Fortinet, Zyxel, F5, Juniper en Palo Alto Networks werden de afgelopen maanden het doelwit van aanvallen en zo gebruikt om bij organisaties binnen te dringen. De situatie is inmiddels zodanig dat cyberagentschappen uit Nederland, het Verenigd Koninkrijk, Noorwegen, Frankrijk en de, Verenigde Staten met waarschuwingen en adviezen zijn gekomen over de toenemende aanvallen op edge devices.

Niet secure by design

"Aanvallers hebben ontdekt dat de meeste producten die vanaf de perimeter toegankelijk zijn, niet 'secure by design' zijn, en kwetsbaarheden dus eenvoudiger te vinden zijn dan in populaire clientsoftware", zo stelde het Britse National Cyber Security Centre (NCSC) eerder dit jaar. Zodra een vpn of firewall is gecompromitteerd kan een aanvaller het netwerk verder binnendringen. Een bijkomend voordeel voor aanvallers is dat degelijke logging op dergelijke apparaten vaak ontbreekt.

Het standpunt van het Britse NCSC wordt gedeeld door het Nederlandse Nationaal Cyber Security Centrum (NCSC). "Recente incidenten en geïdentificeerde kwetsbaarheden binnen verschillende edge devices tonen aan dat deze producten vaak niet voldoende zijn ontworpen volgens moderne security-by-design principes. Dit terwijl deze producten wel een essentiële rol spelen bij de beveiliging van het netwerk." De overheidsinstantie stelt ook dat monitoring en logging bij edge devices complex en vaak onvoldoende geconfigureerd is.

Veel van de aanvallen worden toegeschreven aan statelijke actoren die de apparaten voor spionagedoeleinden compromitteren. Zodra een actief aangevallen kwetsbaarheid echter bekend wordt, blijkt in de praktijk dat bijvoorbeeld ook cybercriminelen deze apparaten voor financieel gewin aanvallen. Hoewel updates dan vaak al beschikbaar zijn, worden die niet altijd geïnstalleerd. Vorig jaar kwam de Amerikaanse overheid met een overzicht van de meest actief aangevallen kwetsbaarheden in 2022. Daarin stond onder andere een uit 2018 stammend Fortinet-lek.

Overzicht actief aangevallen kwetsbaarheden

De afgelopen jaren hebben tal van leveranciers van edge devices met actief aangevallen kwetsbaarheden te maken gekregen. Hieronder een overzicht op basis van gegevens van de Amerikaanse overheid over aangevallen beveiligingslekken in de afgelopen vier jaar waarmee fabrikanten en afnemers van edge devices werden geconfronteerd. Het gaat om het product, de betreffende kwetsbaarheid met CVE-nummer, de impact van het beveiligingslek op een schaal van 1 tot en met 10 en wat voor soort kwetsbaarheid het is.

 Barracuda - Email Security Gateway  Check Point - Quantum Security Gateways
 Cisco - ASA, FTD, IOS, IOS XE, IOS XR, SMB Routers  Ivanti - Connect Secure / Policy Secure / Neurons
 Juniper - Junos OS  F5 Networks - BIG-IP
 Netscaler (Citrix) - ADC / Gateway  SonicWall - SonicOS / SMA100 / SRA / Email Security
 Sophos - Firewall / SFOS / SG UTM  Zyxel - ATP, USG FLE, ZyWall
 Fortinet - FortiOS / FortiProxy / FortiClient EMS  Palo Alto Networks - PAN-OS

Uit het overzicht blijkt dat de edge devices met veelvoorkomende en algemeen bekende kwetsbaarheden te maken hebben. Zo zijn beveiligingslekken als SQL-injection, buffer overflows en path traversal, alsmede hun oplossingen, al decennia bekend. De Amerikaanse autoriteiten riepen leveranciers en fabrikanten onlangs nog op een einde te maken aan path traversal en SQL-injection in hun producten.

Adviezen

De overheidsinstanties die de afgelopen maanden voor de aanvallen op edge devices waarschuwden kwamen ook met adviezen. Zo riep het Noorse Cyber Security Center (NCSC) organisaties op om hun SSLVPN's volledig te vervangen door veiligere alternatieven. Volgens het NCSC zijn in vpn-oplossingen die van SSL/TLS gebruikmaken, en daardoor ook bekendstaan als SSLVPN's, WebVPN's of clientless VPN's, al langere tijd kritieke kwetsbaarheden aanwezig waar aanvallers misbruik van maken. Vanwege deze aanvallen is het verstandig om SSLVPN's uit te faseren, aldus het NCSC. Dat adviseert als veiliger alternatief het gebruik van IPsec (Internet Protocol Security) met IKEv2 (Internet Key Exchange).

Het Nederlandse Cyber Security Centrum adviseert het in kaart brengen van edge devices, het monitoren van de apparaten, het opstellen van patchmanagement, het zo snel mogelijk installeren van beveiligingsupdates, het vervangen van niet meer ondersteunde hard- en software, het regelmatig uitvoeren van risicoanalyses en het hanteren van het 'Assume breach' principe. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security raadt onder andere aan het uitschakelen van onnodige diensten, het beperken van fysieke toegang en het gebruik van access lists voor remote beheer.

Het Franse Computer Emergency Response Team (CERT-FR) adviseert om beheerinterfaces van edge devices niet direct vanaf internet benaderbaar te maken, het doorsturen van logbestanden en het geregeld controleren van de integriteit van de apparaten als dit mogelijk is. Het Britse NCSC roept bedrijven op om fabrikanten van de netwerkperimeter te weren als ze niet kunnen aantonen dat hun producten secure by design zijn.

Reacties (16)
Reageer met quote
15-06-2024, 18:40 door Anoniem
maar firewalls en vpn-servers worden een steeds geliefder doelwit van aanvallers en landen slaan nu alarm. Hoewel deze apparaten voor veel organisaties een beveiligingsdoel vervullen, zijn ze meestal niet met security in het achterhoofd ontwikkeld,

ehm, sinds wanneer worden firewalls niet met security in het achterhoofd ontworpen? zijn ze alleen maar voor crtl-c/ctrl-v atrikelen bedoeld?
Reageer met quote
15-06-2024, 21:18 door Anoniem
Door Anoniem:
maar firewalls en vpn-servers worden een steeds geliefder doelwit van aanvallers en landen slaan nu alarm. Hoewel deze apparaten voor veel organisaties een beveiligingsdoel vervullen, zijn ze meestal niet met security in het achterhoofd ontwikkeld,

ehm, sinds wanneer worden firewalls niet met security in het achterhoofd ontworpen? zijn ze alleen maar voor crtl-c/ctrl-v atrikelen bedoeld?

Lekker afzeikreactie, heb je niets beters te doen? Kijk eens naar alle cve's die staan vermeld. Nou niet echt veilige apparaten te noemen
Reageer met quote
16-06-2024, 10:18 door Anoniem
Zodra netwerkdevices zich met de hogere OSI lagen (>4) gaan bemoeien begint over het algemeen het gedoe, daar zit je dan met je fancy "next generation firewall". De features zijn leuk, maar juist voor een security device zou je verwachten dat deze ook secure gemaakt zijn en uitgebreid en ge(pen)test zijn. Maar ja, voor een vendor is het goedkoper om later een patch voor een vulnerability uit te brengen dan om maatregelen te nemen die ervoor zorgen dat die vulnerability de productie releases niet haalt. Sterker nog, het kan positief gedraaid worden "Kijk eens hoe vaak we updates uitbrengen om het nóg veiliger te maken!".
Reageer met quote
16-06-2024, 11:32 door Anoniem
Door Anoniem:
maar firewalls en vpn-servers worden een steeds geliefder doelwit van aanvallers en landen slaan nu alarm. Hoewel deze apparaten voor veel organisaties een beveiligingsdoel vervullen, zijn ze meestal niet met security in het achterhoofd ontwikkeld,

ehm, sinds wanneer worden firewalls niet met security in het achterhoofd ontworpen? zijn ze alleen maar voor crtl-c/ctrl-v atrikelen bedoeld?
Ze zijn ontworpen voor security voor de klanten, dat is wat bedoeld is en wat natuurlijk ook de taak van een firewall is. Maar wat je niet snapt is dat de software van een firewall zelf niet volgens de juiste principes ontwikkeld is.
Reageer met quote
16-06-2024, 23:45 door Anoniem
De meeste van deze exploits lijken te ontstaan door het koppelen van een management interface (fysiek of software) aan internet. Dat is NOOIT een goed idee om een management interface aan internet te hangen.

Wanneer je TAR balls op een systeem kunt zetten of op de beheeromgeving kunt aanmelden heb je de wedstrijd al verloren.
Reageer met quote
17-06-2024, 08:15 door Anoniem
Kan ik op afstand zien welke router op de edge van mijn thuisnetwerk ziet?
Reageer met quote
17-06-2024, 08:44 door Anoniem
Behalve gemakzucht heb ik eigenlijk nooit begrepen waarom firewall en VPN op dezelfde doos moet draaien.
(Opvallend is wel hoe weinig kaas de gemiddelde ITer gegeten heeft van VPNs, het moet vooral zoveel mogelijk klikken zijn anders begrijpen ze 't niet.)

Dat zorgt er tevens voor dat wanneer de firewall niet toegankelijk is voor het web dat er bijna geen attack-surface is.
Met VPNs blijft dat wel een moeilijke kwestie deze moeten immers open staan naar het web echter is dat door dit op een vreemde poort te draaien en indien mogelijk op UDP al heel moeilijk te vinden.
Dat houdt in ieder geval 99% van de automatische scanners buiten de deur.
Reageer met quote
17-06-2024, 12:53 door Anoniem
Door Anoniem: De meeste van deze exploits lijken te ontstaan door het koppelen van een management interface (fysiek of software) aan internet. Dat is NOOIT een goed idee om een management interface aan internet te hangen.

Wanneer je TAR balls op een systeem kunt zetten of op de beheeromgeving kunt aanmelden heb je de wedstrijd al verloren.
Niet alleen dat maar de meeste CVE zijn van jaar of langer terug. Je mag toch echt wel verwachten dat beheer dit soort zaken bijhoudt. Dus leuk zo lijst maar dat is het een lijst en als je nu nog actie moet ondernemen als Ops mag je mij betreft je ontslag indienen.

Zullen we even alle Linux, Mac en Windows CVE in een lijst plaatsen met populaire aanvallen in afgelopen 4 jaar.
Of komen we dan tegen het limiet van het bericht aan?
Reageer met quote
17-06-2024, 15:07 door Anoniem
Een Netscaler is een behoorlijk prijzig apparaat. Als je daarmee bij het mngt aankomt om te vervangen kijken ze algauw de andere kant op. Security by Design? Zou de eerste laag moeten zijn waarop het mngt gebouwd is.
Reageer met quote
18-06-2024, 09:00 door Anoniem
Door Anoniem: Een Netscaler is een behoorlijk prijzig apparaat. Als je daarmee bij het mngt aankomt om te vervangen kijken ze algauw de andere kant op. Security by Design? Zou de eerste laag moeten zijn waarop het mngt gebouwd is.

Hangt puur van je management af. Management 'hier' heeft veiligheid voorop staan. LCM kent een eigen budget evenals continuiteit, operations en onverwachte kosten. Ik werk al 20+ jaar als IT consultant en heb behoorlijk wat bedrijven van binnen mogen bekijken, de een heeft het beter op orde dan de ander maar beveiliging is veelal gekoppeld aan volwassenheid van het bedrijf en de IT organisatie. Dus dat is echt afhankelijk van het bedrijf en het management dat je treft.
Reageer met quote
22-06-2024, 10:36 door Anoniem
Door Anoniem:
Door Anoniem: De meeste van deze exploits lijken te ontstaan door het koppelen van een management interface (fysiek of software) aan internet. Dat is NOOIT een goed idee om een management interface aan internet te hangen.

Wanneer je TAR balls op een systeem kunt zetten of op de beheeromgeving kunt aanmelden heb je de wedstrijd al verloren.
Niet alleen dat maar de meeste CVE zijn van jaar of langer terug. Je mag toch echt wel verwachten dat beheer dit soort zaken bijhoudt. Dus leuk zo lijst maar dat is het een lijst en als je nu nog actie moet ondernemen als Ops mag je mij betreft je ontslag indienen.

Volgens mij is het niet aanbrengen van updates meestal niet zozeer afhankelijk van de al of niet nalatigheid van beheer, maar veel meer van door hogerop opgelegd beleid en regels. Er heeft ooit iemand bepaald dat updates alleen geinstalleerd mogen worden als ze eerst uitgebreid intern getest zijn, en dat de uptime van de systemen minstens 99.99% moet zijn waarbij geplande downtime alleen tussen 01:00 en 04:00 s'nachts mag plaatsvinden.
Daarmee hebben ze een enorme drempel opgeworpen tegen het slagvaardig installeren van belangrijke security fixes.
En zodra dat eenmaal het geval is komen steeds updates op de "te veel werk, te veel gedoe, moeten we nog eens naar kijken" stapel te liggen, en wordt de impact van installatie op de werkende omgeving ook steeds groter (hoe meer versies je overslaat hoe meer kans dat er wat stuk gaat als je uiteindelijk gaat updaten).
Dus ik denk dat je het ook de beleidsmakers, die vaak van standaard boekjes uitgaan, mag verwijten. Als de beheerders gewoon de vrijheid hadden om iedere vrijdagmiddag even de meest recente updates te installeren zouden ze dat echt wel doen.
Reageer met quote
24-06-2024, 11:09 door Anoniem
Normaal gesproken lees ik met alle plezier artikelen in Security.nl Maar dit hele artikel is gewoon clickbait. Of je het nu hebt over een Palo Alto of een Fortinet, of een andere leverancier, we praten hier over een handvol CVE's. Software ontwikkelen is mensenwerk, mensen maken fouten, hoe zorgvuldig je ook bent. Het is de naïviteit die tentoongesteld wordt gesteld in dit artikel dat ten grondslag ligt aan heel veel van de beheersfouten die gemaakt worden.
Het principe is niet: als de software juist ontwikkeld wordt dan worden er geen beveiligingsfouten gemaakt, dat is hetzelfde als beweren dat een auto die op die juiste manier ontworpen is nooit een ongeluk zal hebben. Het toepassen van de juiste principes zal de hoeveelheid bugs en kwetsbaarheden niet tot nul terugbrengen maar het zal ze minimaliseren. Vergelijk eens de hoeveelheid bugs en kwetsbaarheden die PAN en FDN hebben met de hoeveelheid bugs en kwetsbaarheden die Windows heeft.
Het probleem wat we hier zien is dat beheersorganisaties niet op tijd patchen en hun systemen up to date houden, het is toch waanzin dat een bug die meer dan 4 jaar oud is nog niet gepatcht is op een Firewall als daar gewoon een simpele patch voor bestaat. Om maar weer naar de auto-analogie terug te keren, dat is hetzelfde als met een auto die een lekke band heeft door rijden en dan klagen dat je uit de bocht vliegt als je een bocht neemt. Wanneer je een lekke band hebt moet je die vervangen, daar hoef je geen genie voor te zijn om dat te begrijpen, wanneer je FW een bug heeft dan moet je die patchen, daar hoef je ook geen genie voor te zijn om dat te snappen.
Reageer met quote
24-06-2024, 11:19 door Anoniem
Hoezo clickbait, het zijn de NCSC's van deze wereld die waarschuwen en zeggen dat vpn en firewall vendors er een puinhoop van maken.

En ja, te laat patchen is een probleem, maar ook de zero days in de apparatuur. Een vpn of firewall is tegenwoordig gewoon een attack vector!!

"Verder toont onderzoek aan dat de statelijke actor achter deze campagne minimaal twee maanden voordat Fortinet de kwetsbaarheid bekend maakte, al op de hoogte was van deze kwetsbaarheid in FortiGate-systemen. Tijdens deze zogeheten ‘zero-day’ periode, infecteerde de actor alleen al 14.000 apparaten. Onder doelwitten zijn onder meer tientallen (westerse) overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie."

https://www.ncsc.nl/actueel/nieuws/2024/juni/10/aanhoudende-statelijke-cyberspionagecampagne-via-kwetsbare-edge-devices
Reageer met quote
25-06-2024, 10:36 door Anoniem
Door Anoniem: Hoezo clickbait, het zijn de NCSC's van deze wereld die waarschuwen en zeggen dat vpn en firewall vendors er een puinhoop van maken.

En ja, te laat patchen is een probleem, maar ook de zero days in de apparatuur. Een vpn of firewall is tegenwoordig gewoon een attack vector!!

"Verder toont onderzoek aan dat de statelijke actor achter deze campagne minimaal twee maanden voordat Fortinet de kwetsbaarheid bekend maakte, al op de hoogte was van deze kwetsbaarheid in FortiGate-systemen. Tijdens deze zogeheten ‘zero-day’ periode, infecteerde de actor alleen al 14.000 apparaten. Onder doelwitten zijn onder meer tientallen (westerse) overheden, internationale organisaties en een groot aantal bedrijven binnen de defensie-industrie."

https://www.ncsc.nl/actueel/nieuws/2024/juni/10/aanhoudende-statelijke-cyberspionagecampagne-via-kwetsbare-edge-devices
Dus als ik het goed begrijp wat je zegt is dat omdat een statelijk actor bekend was met een zero- day exploit, is het de schuld van Firewall leveranciers dat deze onbekende vulnerability niet gepatched was? We praten hier niet over het exploiteren van Zero Day Exploits, maar van CVE's die al 4 jaar geleden gepatched zijn. Twee totaal verschillende dingen.

Je kunt je als organisatie maar heel moeilijk beschermen tegen zero day exploits, Staats acteurs zullen altijd dat soort exploits geheim houden, twee maanden is niets, ik ben ervan overtuigd dat er exploits bestaan in bijna elk systeem die niet publiekelijk bekend zijn. Voor de duidelijkheid ik zeg niet dat Firewall leveranciers geen verantwoordelijkheid hebben, uiteraard is het zo dat ze software op de juiste manier moeten ontwikkelen. Maar 4 jaar oude CVE’s gebruiken met deze kop is onzinnig, je kunt geen software leverancier de schuld geven van niet gepatchte systemen. Dat is hetzelfde als Volkswagen de schuld geven dat ik te hard rijd op de A1 en dan een boete krijg.

Samenvatting van dit artikel:
Leveranciers ontwikkelen software niet op de juiste manier.
Ok dat is een boodschap wat waar zou kunnen zijn, er worden inderdaad bugs gevonden in edge devices.
Ons bewijs is dat systemen gehackt worden met bugs van 4 jaar geleden.
Dat heeft dus niets te maken met statement 1. Dat is een beheersorganisatie probleem.
Als ik een 4 jaar windows of linux machine op het internet aansluit die al 4 jaar niet gepatched is, moet ik dan werkelijk verrast zijn dat ik gehackt wordt.
Reageer met quote
25-06-2024, 19:13 door Anoniem
>Netscaler (zoals Citrix nu heet),

Dit klopt echt niet. Netscaler is/was een product van Citrix.
Reageer met quote
Gisteren, 17:05 door Anoniem
Door Anoniem: Normaal gesproken lees ik met alle plezier artikelen in Security.nl Maar dit hele artikel is gewoon clickbait. Of je het nu hebt over een Palo Alto of een Fortinet, of een andere leverancier, we praten hier over een handvol CVE's. Software ontwikkelen is mensenwerk, mensen maken fouten, hoe zorgvuldig je ook bent. Het is de naïviteit die tentoongesteld wordt gesteld in dit artikel dat ten grondslag ligt aan heel veel van de beheersfouten die gemaakt worden.
Het principe is niet: als de software juist ontwikkeld wordt dan worden er geen beveiligingsfouten gemaakt, dat is hetzelfde als beweren dat een auto die op die juiste manier ontworpen is nooit een ongeluk zal hebben. Het toepassen van de juiste principes zal de hoeveelheid bugs en kwetsbaarheden niet tot nul terugbrengen maar het zal ze minimaliseren. Vergelijk eens de hoeveelheid bugs en kwetsbaarheden die PAN en FDN hebben met de hoeveelheid bugs en kwetsbaarheden die Windows heeft.
Het probleem wat we hier zien is dat beheersorganisaties niet op tijd patchen en hun systemen up to date houden, het is toch waanzin dat een bug die meer dan 4 jaar oud is nog niet gepatcht is op een Firewall als daar gewoon een simpele patch voor bestaat. Om maar weer naar de auto-analogie terug te keren, dat is hetzelfde als met een auto die een lekke band heeft door rijden en dan klagen dat je uit de bocht vliegt als je een bocht neemt. Wanneer je een lekke band hebt moet je die vervangen, daar hoef je geen genie voor te zijn om dat te begrijpen, wanneer je FW een bug heeft dan moet je die patchen, daar hoef je ook geen genie voor te zijn om dat te snappen.
Helemaal mee eens. Het verbaasd me dat veel 'developer's' op security.nl precies weten hoe het moet, maar nog nooit een foutloos stukje code hebben laten zien. Iets met beste stuurlui....
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search