Ethische hackers van het Nederlandse Computest Security hebben een kwetsbaarheden gevonden in een VPN server van SonicWall. Door deze kwetsbaarheden konden zij de server overnemen en mogelijk toegang krijgen tot het interne bedrijfsnetwerk met gevoelige data.
Computest Security adviseert bedrijven die de servers gebruiken direct te zorgen voor updates. Dit kan door middel van de inmiddels beschikbaar gestelde patch. De gevonden kwetsbaarheden bevestigen de noodzaak voor meer aandacht voor de security van randapparatuur als VPN servers, routers en firewalls. Ook de MIVD en AIVD roepen daartoe op. Dit omdat deze steeds vaker het doelwit zijn van cybercriminelen.
Het team van ethische hackers van Computest Security, waaronder Daan Keuper, toonde vorig jaar al de kwetsbaarheid van randapparatuur of ‘edge devices’ aan. Zij vonden tijdens de internationale hackwedstrijd Pwn2Own kwetsbaarheden in een router van QNAP. En in een netwerkschijf van TrueNAS. Dit was voor het team reden om ook andere randapparatuur zoals de SonicWall VPN server verder te onderzoeken.
Kwetsbaarheid bij inlogprotocol
De hackers vonden de kwetsbaarheden onder meer bij het inlogprotocol. Bij het inloggen op de VPN server voert een gebruiker een gebruikersnaam en wachtwoord in waarmee de sessie wordt opgestart. Deze sessie wordt met een uniek nummer geïdentificeerd. Bij ieder commando dat vervolgens wordt gegeven, weet het systeem dat het om deze gebruiker gaat. Het sessienummer zou niet te achterhalen moeten zijn, echter het team van Computest Security kon de nummers voorspellen en zich daarmee eenvoudig voordoen als gebruiker en in theorie ongezien bewegen door het bedrijfsnetwerk.
Informatie misbruiken voor aanvallen
Computest Security heeft melding gedaan van de kwetsbaarheden en SonicWall stelde inmiddels een patch beschikbaar. Het risico bestaat nu echter dat ransomwaregroepen met de kennis van deze kwetsbaarheid toegang proberen te krijgen tot andere apparaten. Zij kunnen de informatie misbruiken om deze SonicWall devices aan te vallen. Daarom is het essentieel de beschikbare security-update voor deze apparaten zo snel mogelijk te installeren.
Daarnaast ziet Computest Security ook dat door de verbeterde beveiliging van end points, die voorheen een populair doelwit waren, cybercriminelen en statelijke actoren hun focus verleggen naar edge devices. De aanvallen op deze apparaten nemen toe en vereisen daarom meer aandacht.
Compliance-risico vanuit Cyber Resilience Act
Meer focus op security van edge devices is dus noodzakelijk. Niet alleen vanuit de bedrijven die de apparatuur gebruiken, maar ook vanuit fabrikanten, distributeurs en importeurs van de apparaten. Zij lopen met de Cyber Resilience Act die eind 2024 ook voor Nederland in werking is getreden een serieus compliance-risico.
De wet geeft aan dat digitale producten zoals VPN servers en routers kritieke netwerkonderdelen zijn en schrijft voor dat deze moeten voldoen aan extra strenge beveiligingsnormen en gedurende hun hele levenscyclus veilig moeten zijn.
Alle partijen hebben nog tot 2027 de tijd om zich voor te bereiden op de wet. Na deze termijn kunnen zij toezicht verwachten en aanzienlijke boetes opgelegd krijgen als de security van de apparaten niet gewaarborgd is.