'VPN's bij veel meer Nederlandse bedrijven lek'

Dat meldt het radioprogramma Reporter Radio zondagavond op NPO Radio 1 in samenwerking met IT-beveiligingsbedrijf ESET.

Zaterdag berichtte de Volkskrant over een lek in de VPN's van het bedrijf Pulse Secure, wereldwijd een grote leverancier bij vooral grote bedrijven en (overheids)instellingen. Kwaadwillenden konden daardoor relatief eenvoudig toegang krijgen tot de computernetwerken van gebruikende ondernemingen en organisaties. Pulse Secure is in april met een update gekomen om de onvolkomenheid te dichten. Het Nederlandse overheidsbeveiligingsorgaan NCSC (Nationaal Cyber Security Center) is toen al met een waarschuwing hierover gekomen.

Maanden verstreken

Terwijl de mogelijk aan te richten schade groot is, heeft het NCSC aanvankelijk de inschatting gedaan dat de kans op misbruik van deze VPN-kwetsbaarheid klein is. Tenminste, in april dit jaar. De tweede NCSC-waarschuwing, die in augustus is afgegeven, verhoogt de kans op misbruik naar groot. De reden voor deze opschaling is dat er op 20 augustus exploitcode openbaar is gemaakt. Daarmee is het relatief makkelijk om oneigenlijke toegang te verkrijgen tot netwerken waar de kwetsbare VPN-software wordt gebruikt.

Ondanks deze twee waarschuwingen en de inmiddels verstreken tijd zijn tientallen bedrijfssystemen nog steeds te infiltreren middels de onveilige VPN-systemen. De in april al uitgebrachte patches blijken lang niet door alle gebruikers te zijn toegepast. Bovenop deze situatie van onveilige remote inlog, meldt Reporter Radio dat er meer Nederlandse organisaties op deze manier 'lek' zijn. Het gaat om klanten van Fortinet en diens Fortigate VPN.

Kleinere klanten

Deze beveiligingsleverancier bedient vooral kleinere bedrijven, maar dan gaat het nog steeds om een ziekenhuis, instellingen in het onderwijs, overheden en een beursgenoteerd bedrijf. Het bedrijf is in mei al met een update gekomen maar veel klanten installeerden die niet, aldus het radioprogramma. Ter bescherming noemen de onderzoeksjournalisten niet de namen van de betrokkenen. Ze hebben wel een melding gedaan bij het NCSC, die eind augustus een waarschuwing heeft gegeven dat er een patch is die kritieke kwetsbaarheden in FortiOS verhelpt.

Ook bij de Fortigate VPN's gaat het om kwetsbaarheden waarvoor exploitcode beschikbaar is. Het NCSC wist op 23 augustus al te melden dat daar door kwaadwillenden actief misbruik van werd gemaakt. Eerder was er al melding gemaakt van exploitcode, die toen nog niet openbaar was. Juist kleinere bedrijven waar Fortinet veel aan levert, zijn met hun ICT-systemen kwetsbaarder, mede doordat zij vaak minder beveiligingsmaatregelen treffen.

Via-via doordringen

De gevolgen van het lek kunnen volgens Dave Maasland van ESET Nederland enorm zijn. Hackers krijgen volgens hem niet alleen toegang tot essentiële bedrijfssystemen, zij kunnen daarna ook doordringen tot systemen van de overheid of grotere bedrijven die ze mogelijk als klant hebben. Het is niet duidelijk of het lek in de Fortigate VPN's daadwerkelijk in Nederland is misbruikt. In het buitenland is dat wel zo, aldus de journalisten van Reporter Radio.