Niet-gepaarde VPN-fouten kunnen hackers helpen ondernemingen aan te vallen, NSA en NCSC te waarschuwen

Onderzoek door NSA (National Security Agency) en NCSC (National Cyber Security Center) heeft aangetoond dat bepaalde VPN-services (Virtual Private Network) kunnen worden aangevallen door cybercriminele groepen die bekend staan als APT ( Advanced Persistent Threat ). Het is echter mogelijk dat verschillende hackerteams ook geïnteresseerd zijn in het aanvallen van kwetsbare VPN's. Als gevolg hiervan kunnen veel internationale bedrijven die dergelijke services gebruiken in gevaar zijn. Daarom raden cybersecurity-specialisten aan onmiddellijk actie te ondernemen. In deze blogpost bespreken we welke applicaties het doelwit zijn en wat VPN kwetsbaar maakt. Als u doorgaat met lezen, kunt u ook ontdekken wat u moet doen als uw bedrijf een van de kwetsbare VPN-services gebruikt. Als u vragen heeft over de besproken VPN-fouten, kunnen we onze opmerkingensectie aanbieden aan het einde van deze pagina.

Wat maakt VPN kwetsbaar en welke services kunnen worden aangevallen?

Pulse Secure , Fortinet en Palo Alto zijn de bedrijven die VPN-diensten leveren, die zijn gericht op APT-hackers. Ook werd opgemerkt dat cybercriminelen bedrijven zoeken die in de volgende sectoren werken: overheid, militairen, onderwijs, bedrijfsleven en gezondheidszorg. Het is waarschijnlijk dat hun doel is om toegang te krijgen tot de systemen van organisaties, bijvoorbeeld om gevoelige informatie te verkrijgen of schadelijke software te laten vallen.

Volgens NCSC zijn hackers op de hoogte van bepaalde VPN-fouten in de genoemde tools. De VPN-tool van Pulse Secure heeft twee zwakke punten genaamd CVE02019-11510 en CVE-2019-11539 , waarmee externe aanvallers willekeurige bestanden kunnen lezen of opdrachten kunnen uitvoeren via de admin-interface. Het VPN-product van het Fortinet heeft drie fouten genaamd CVE-2018-13379 , CVE-2018-13382 en CVE-2018-13383 . Zoals u kunt zien, zijn de vermelde fouten niet nieuw zoals ze werden ontdekt in 2018. Toch kunnen er gebruikers zijn die ze mogelijk nog niet hebben gepatcht.

Een ander ding dat je moet weten over Fortinet's VPN-fouten is dat ze aanvallers in staat stellen willekeurige bestanden te lezen, wachtwoorden van SSL VPN-webportaalgebruikers te wijzigen en shell op een router te laten werken. Wat betreft degenen die de Palo Alto-services gebruiken, ze zijn misschien blij te horen dat deze VPN slechts één fout heeft die de ATP-hackers kunnen benutten. Het wordt CVE-2019-1579 genoemd en het kan aanvallers toestaan om willekeurige code uit te voeren. Door gebruik te maken van willekeurige code-uitvoering kunnen aanvallers dezelfde rechten krijgen als een gebruiker van een gerichte toepassing of een systeem. Als hackers bijvoorbeeld een dergelijke fout in VPN-software misbruiken, kunnen ze mogelijk de instellingen wijzigen, logboeken bekijken of iets anders doen dat een gebruiker zou kunnen doen.

Hoe zich te ontdoen van VPN-fouten?

VPN-fouten kunnen op dezelfde manier worden opgelost als andere softwarekleppen. Meestal, zodra een kwetsbaarheid bekend wordt bij een bedrijf dat ervoor verantwoordelijk is, zoekt een organisatie naar een manier om het te verhelpen. Nadat een oplossing is gevonden, verschijnt een patch of een update die gebruikers van een product kunnen downloaden. Hoewel sommige tools gebruikers informeren over zwakke punten en patches die kunnen worden toegepast, moeten gebruikers er soms zelf achter komen, bijvoorbeeld tijdens het bezoeken van de website van een bedrijf.

Alle zes VPN-fouten in de producten Pulse Secure, Fortinet en Palo Alto zijn enige tijd geleden hersteld. Of u nu op de hoogte bent gebracht van de benodigde patches, maar ervoor hebt gekozen deze over te slaan of u nog niet van deze patches hebt gehoord, we raden u ten zeerste aan ze zo snel mogelijk toe te passen. Natuurlijk moet u in de toekomst altijd meteen updates installeren als u wilt dat uw apparaten en systemen veilig zijn.

Hoe te bepalen of uw VPN-fouten mogelijk zijn misbruikt?

Als uw VPN-applicatie al geruime tijd niet is gepatcht, raden cybersecurity-specialisten extra voorzorgsmaatregelen aan. Dit betekent dat u niet alleen patches moet toepassen die uw VPN-fouten zouden verhelpen, maar ook activiteiten met betrekking tot uw VPN moet onderzoeken om bewijs van een inbreuk te zoeken. Hieronder vindt u NCSC-tips voor het vinden van bewijs van gecompromitteerde VPN's.

Pulse Connect

Organisaties die de VPN-services van dit bedrijf gebruiken, wordt geadviseerd om naar verbindingen met verdachte URL's te zoeken. Om dit te doen, raden specialisten aan om een HTTPS- verzoek rechtstreeks aan de webinterface in te dienen en niet via de VPN. Als dergelijke activiteiten in gebeurtenislogboeken worden weergegeven, is het raadzaam om zoeklogboeken te controleren op URL-adressen met vraagtekens die eindigen op / dana / html5acc / guacamole . Ook raden specialisten aan te zoeken naar verzoeken aan /dana-admin/diag/diag.cgi . Als dergelijke gegevens worden gevonden en deze dateren voordat patches voor de zwakke punten CVE02019-11510 en CVE-2019-11539 zijn geïnstalleerd, is het mogelijk dat een systeem in gevaar wordt gebracht.

FortiGate

Het lijkt erop dat hackers die mogelijk misbruik maken van de zwakte van CVE-2018-13379, een bestand met de naam sslvpn_websession kunnen downloaden. Cybersecurity-experts zeggen dat het wachtwoorden en gebruikersnamen van alle actieve gebruikers moet bevatten en dat het bestand ongeveer 200 KB moet bevatten. Een andere manier om te controleren of hackers de VPN-fouten van een bedrijf hebben misbruikt, is door firewalllogboeken of Netflow- logboeken te onderzoeken als een programma is geconfigureerd om ze op te nemen. Om precies te zijn, specialisten adviseren om te zoeken naar TCP- sessies met 200.00-250.000 bytes vanaf de SSL VPN-webinterfacepoort naar de client, wat bewijs van misbruik kan zijn.

Palo Alto

Organisaties die mogelijk niet-gepaarde VPN-tools van dit bedrijf hebben gebruikt, worden geadviseerd om te zoeken naar crashes in de softwarelogboeken. Blijkbaar kunnen mislukte pogingen om deze VPN te exploiteren zichtbaar zijn in de logboeken, en het is het enige dat kan helpen bepalen of een systeem kan worden aangetast.

Wat te doen als u erachter komt dat uw VPN-fouten zijn misbruikt?

Cybersecurity-specialisten adviseren het risico om inloggegevens in te trekken en verificatiegegevens opnieuw in te stellen. Vervolgens wordt slachtoffers geadviseerd om de configuratie-opties van de inbreuk te controleren en te zoeken naar ongeautoriseerde wijzigingen die, indien gevonden, hersteld moeten worden. Als extra voorzorgsmaatregel kunnen bedrijven Two-Factor Authentication inschakelen en poorten of functies op hun VPN's uitschakelen die ze niet gebruiken of nodig hebben. Het zou natuurlijk ook slim zijn om netwerkverkeer en de VNP-logboeken te blijven volgen op verdachte activiteiten om verdere aanvallen te voorkomen. Als laatste redmiddel stellen cybersecurity-experts voor om gecompromitteerde apparaten te wissen als een bedrijf een inbreuk vermoedt, maar geen bewijs van hacking kan vinden en geen risico wil nemen.

Over het algemeen kan het gebruik van een VPN nog steeds bedrijven helpen hun systemen te beschermen tegen cybercriminelen. Het is echter essentieel om ervoor te zorgen dat er geen VPN-fouten zijn, omdat VPN hierdoor kwetsbaar is. Daarom raden cybersecurity-experts aan regelmatig te controleren op nieuwe patches en updates. Hoe eerder ze zijn geïnstalleerd, hoe kleiner de kans dat hackers ongecontroleerde zwakke punten kunnen benutten. Waarschijnlijk is de eenvoudigste manier om ervoor te zorgen dat de VPN-services die uw bedrijf gebruikt altijd up-to-date is, een IT-team in dienst te nemen dat ervoor zou zorgen dat uw VPN, evenals andere software, tijdig werden gepatcht en bijgewerkt. Voor meer informatie over de tekortkomingen van bedrijfs-VPN's, raden we u aan hier te lezen.

Tegen Foley
December 11, 2019
News
Nederlands
December 11, 2019
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.