Twee grote VPN-aanbieders hadden te maken met ernstige kwetsbaarheid

Twee grote providers van Virtual Private Networks (VPN) hadden te maken met fouten in hun diensten, die hackers en andere kwaadwillenden ertoe in staat stelden om willekeurige code uit te voeren. Dat bevestigen onderzoekers van Cisco Talos, die ook stellen dat gebruikers van ProtonVPN en NordVPN serieuze risico’s liepen.

Het gaat om kwetsbaarheden met de namen CVE-2018-3952 en CVE-2018-4010. Die bevonden zich tot recent op Windows-apparaten, maar zijn gepatcht. Zelfs met de patches blijkt de code nog uitgevoerd te kunnen worden, mits degene die dat doet beschikt over admin-rechten. De eerste patches zijn in de loop van april uitgebracht. Ondertussen zijn ook de laatste problemen opgelost.

Alle problemen opgelost

NordVPN bracht afgelopen augustus een tweede en laatste patch uit, waarmee de codeproblemen opgelost zijn. ProtonVPN bracht deze maand de laatste patch uit. Alle klanten krijgen het advies om de patches zo snel mogelijk uit te rollen, zodat ze beschermd zijn tegen eventuele aanvallen.

Het probleem bij de bugs ligt volgens de site ZDNet in het rechtenbeheer van accounts, waardoor bepaalde gebruikers onbedoeld meer rechten krijgen dan nodig is. In een reactie stellen woordvoerders van beide bedrijven dat de bugs opgelost zijn. ProtonVPN laat specifiek weten dat het zijn gebruikers een prompt heeft gestuurd om te laten weten dat ze de update moeten uitvoeren. Zoiets soortgelijks heeft ook NordVPN gedaan, dat stelt dat geen van zijn gebruikers meer risico loopt.

Tegelijk is het wel opvallend dat beide bedrijven twee updates moesten uitbrengen aan hun code om de problemen definitief opgelost te krijgen. Het is niet bekend of er ook daadwerkelijk misbruik van gemaakt is, maar NordVPN merkt op dat er alleen gebruik van gemaakt kon zijn als iemand toegang tot het apparaat van het slachtoffer heeft, waardoor de kans daarop relatief klein zou zijn.