Ethische hackers van Computest Security hebben een reeks kwetsbaarheden gevonden in een VPN server van SonicWall. Door deze kwetsbaarheden konden zij de server overnemen en mogelijk toegang krijgen tot het interne bedrijfsnetwerk met gevoelige data. Computest Security adviseert bedrijven die de servers in gebruik hebben deze direct te updaten door middel van de inmiddels beschikbaar gestelde patch. De gevonden kwetsbaarheden bevestigen de noodzaak voor meer aandacht voor de security van randapparatuur als VPN servers, routers en firewalls - waartoe eerder ook door de MIVD en AIVD werd opgeroepen -, omdat deze steeds vaker het doelwit zijn van cybercriminelen.
Het team van ethische hackers van Computest Security toonde vorig jaar al de kwetsbaarheid van randapparatuur of ‘edge devices’ aan. Zij vonden tijdens de internationale hackwedstrijd Pwn2Own kwetsbaarheden in een router van QNAP en in een netwerkschijf van TrueNAS. Dit was voor het team reden om ook andere randapparatuur zoals de SonicWall VPN server verder te onderzoeken.
Kwetsbaarheid inlogprotocol
De kwetsbaarheden werden onder meer gevonden bij het inlogprotocol. Bij het inloggen op de VPN server voert een gebruiker een gebruikersnaam en wachtwoord in waarmee de sessie wordt opgestart. Deze sessie wordt met een uniek nummer geïdentificeerd. Bij ieder commando dat vervolgens wordt gegeven, weet het systeem dat het om deze gebruiker gaat. Het sessienummer zou niet te achterhalen moeten zijn, echter het team van Computest Security kon de nummers voorspellen en zich daarmee eenvoudig voordoen als gebruiker en in theorie ongezien bewegen door het bedrijfsnetwerk.
“De VPN server van SonicWall is qua functionaliteit redelijk complex. Dit maakt het lastiger om het systeem adequaat te beveiligen”, zegt Daan Keuper, security-expert en ethisch hacker bij Computest Security. “Bovendien wordt er omwille van de gebruiksvriendelijkheid vaak nog een laag omheen gebouwd die de server juist extra kwetsbaar maakt. Het is daarom belangrijk de risico’s in kaart te brengen, edge devices mee te nemen in de security-monitoring, altijd de security-updates te installeren en waar mogelijk te switchen naar een veiliger alternatief dat is gebaseerd op bewezen technologie zoals IP-sec.”
Informatie misbruiken voor nieuwe aanvallen
Computest Security heeft melding gedaan van de kwetsbaarheden en SonicWall heeft inmiddels een patch beschikbaar gesteld. Volgens Keuper is dat goed nieuws, maar zullen ransomwaregroepen met de kennis van deze kwetsbaarheid toegang proberen te krijgen tot andere apparaten. “Als de informatie over de kwetsbaarheid en de patch in de openbaarheid komen, weten cybercriminelen ook hoe het probleem in elkaar zit en zullen zij de informatie misbruiken om deze SonicWall devices aan te vallen. Daarom is het essentieel de beschikbare security-update voor deze apparaten zo snel mogelijk te installeren. Verder zien we ook dat door de verbeterde beveiliging van end points, die voorheen een populair doelwit waren, cybercriminelen en statelijke actoren hun focus verleggen naar edge devices. De aanvallen op deze apparaten nemen daarmee toe en vereisen daarom meer aandacht.”
Compliance-risico vanuit Cyber Resilience Act
Meer focus op security van edge devices is dus noodzakelijk. Niet alleen vanuit de bedrijven die de apparatuur gebruiken, maar ook vanuit fabrikanten, distributeurs en importeurs van de apparaten. Zij lopen met de Cyber Resilience Act die eind 2024 ook voor Nederland in werking is getreden een serieus compliance-risico. De wet geeft aan dat digitale producten zoals VPN servers en routers kritieke netwerkonderdelen zijn en schrijft voor dat deze moeten voldoen aan extra strenge beveiligingsnormen en gedurende hun hele levenscyclus veilig moeten zijn. Alle partijen hebben nog tot 2027 de tijd om zich voor te bereiden op de wet. Na deze termijn kunnen zij toezicht verwachten en aanzienlijke boetes opgelegd krijgen als de security van de apparaten niet gewaarborgd is.