Via Pulse Secure-lek wachtwoorden Nederlandse bedrijven gestolen

Via een bekend beveiligingslek in de vpn-software van Pulse Secure hebben aanvallers wachtwoorden van meerdere Nederlandse bedrijven gestolen. De wachtwoorden verschenen kortgeleden op een forum voor cybercriminelen. Onder andere een dochterbedrijf van het industriële concern VDL, groothandel Coen Bakker Deco en datacenterbedrijf ITB2 zijn slachtoffer geworden, meldt het Financieele Dagblad.

2019

Vorig jaar april werd de kwetsbaarheid in Pulse Secure gepatcht. Door het beveiligingslek in de software kunnen aanvallers zonder inloggegevens vpn-servers van organisaties overnemen en zelfs alle vpn-clients. De kwetsbaarheid kan worden uitgebuit door toegang te krijgen via https en een speciaal gerepareerde uri te sturen. Er vinden sinds augustus vorig jaar ook daadwerkelijke aanvallen plaats.

In oktober 2019 waarschuwde het NCSC (Nationaal Security Centrum) dat er nog veel Nederlandse organisaties waren die de kwetsbare Pulse Secure-software gebruikten. Hiervoor meldde een beveiligingsonderzoeker al dat tientallen Nederlandse bedrijven de update niet hadden geïnstalleerd.

Waarschuwingen

Via de kwetsbaarheid kunnen aanvallers toegang krijgen tot de vpn-omgeving en zo het achterliggende netwerk aanvallen. Er zijn criminelen die via het Pulse Secure-lek de kans grijpen om ransomware te verspreiden. April 2020 waarschuwde CISA (het Cybersecurity and Infrastructure Security Agency) van de Amerikaanse overheid dat deze incidenten heeft gezien waarbij er wachtwoorden werden misbruikt die zijn gestolen via de kwetsbaarheid. Soms zelfs maanden nadat organisaties de update hebben uitgerold.

Begin augustus heeft een gebruiker van een forum voor cybercriminelen een lijst geplaatst met plaintext wachtwoorden en gebruikersnamen van 900 zakelijke vpn-servers. Daarbij stonden ook de ip-adressen, de ssh-keys van elke server, de lijst van alle lokale gebruikers met wachtwoordhashes, de details van de beheerderaccounts, wanneer de laatste vpn-logins waren en vpn-sessiecookies, meldt ZDNet.
Vervolgens liet het Nederlandse Security Meldpunt weten dat er ook Nederlandse ip-adressen voorkomen op deze lijst. Naast bedrijven uit Nederland zijn ook porseleinfabrikant Villeroy & Boch, het nationale onderzoeksinstituut van Spanje en het Luxemburgse laboratoriumbedrijf Eurofins slachtoffer.

Bij Coen Bakker Deco zegt men niet op de hoogte te zijn van de aanval. Sinds kort wordt de Pulse Secure-server van het bedrijf niet meer gebruikt. Ook ITB2 laat weten geen gebruik meer te maken van de server. VDL heeft niet gereageerd. Volgens het Financieele Dagblad zijn de bedrijven niet langer meer kwetsbaar.

Bron: Security.nl