‘Netwerken honderden bedrijven lag open wegens lek in VPN-dienst’

VPN

De VPN-dienst van Pulse Secure bleek eerder dit jaar een lek te bevatten. Dat lek werd in april al gedicht, maar honderden Nederlandse bedrijven hadden in augustus de update nog niet geïnstalleerd. Daardoor staan de interne netwerken van honderden bedrijven en zelfs een ministerie open, schrijft De Volkskrant.

In totaal staan nog 140 systemen open door het lek. Het gaat onder meer om het netwerk van het ministerie van Justitie en Veiligheid, maar ook om die van grote bedrijven.

Het lek werd begin dit jaar ontdekt door twee onderzoekers uit Taiwan. Via het lek kunnen aanvallers vrij gemakkelijk vanaf het internet bestanden uitlezen. Ook kunnen de hackers inloggegevens in handen krijgen en de VPN-verbinding gebruiken alsof ze een medewerker zijn. En voor dit alles hoef je niet eens te hacken.

De onderzoekers stelden Pulse Secure in maart op de hoogte. Een maand later, in april, volgde een update voor alle klanten. Het Nationaal Cyber Security Center (NCSC) adviseert om die update over te nemen, al zegt het dat de kans op misbruik ‘laag’ is. De schade is echter wel groot, mocht iemand het netwerk binnen kunnen komen.

Niet geüpdatet

Pulse Secure laat het niet bij die ene update zitten, maar stuurt in juni nog eens een herinnering aan alle gebruikers van de VPN-dienst om de update uit te voeren. Ook waarschuwt het dat het lek gevaarlijk is.

Eind augustus delen de twee Taiwanese onderzoekers hun bevindingen tijdens Blackhat. Daarbij laten ze ook zien hoe ze netwerken binnenkomen. Het NCSC besluit vervolgens opnieuw een melding te maken. Omdat nu gedeeld is hoe het lek te misbruiken is, is de kans op misbruik volgens de organisatie ‘hoog’.

Maar het blijkt dus niet genoeg te hebben geholpen. In ausgustus vindt een beveiligingsexpert van Secura, Matthijs Koot, tientallen bedrijven die nog steeds kwetsbaar zijn voor het lek. In totaal waren het 538 systemen, tientallen daarvan zijn Nederlands. Die bedrijven hadden de update nog niet uitgevoerd.

Offline gehaald

Dat de bedrijven nog altijd kwetsbaar zijn, is een groot probleem. Chinese staatshackers zoeken bijvoorbeeld naar bedrijven met Pulse Secure, in de hoop het lek te kunnen misbruiken voor spionage.

Koot heeft zijn bevindingen dan ook gemeld bij het NCSC. Bij de bedrijven en instanties zitten er volgens hem twee die cruciaal zijn voor de nationale veiligheid, al noemt hij niet welke dat dan precies zijn.

De kwetsbare systemen die gerelateerd zijn aan nationale veiligheid zijn vervolgens offline gehaald.

Foto: Shutterstock.com