Terwijl veel organisaties zich focussen op het patchen van de nieuwste zero-day kwetsbaarheden of zich richten op de nieuwste CVE’s die de krantenkoppen halen, maken aanvallers nog steeds met succes misbruik van meer dan vijf jaar oude VPN-kwetsbaarheden. Ook is 64% van de VPN-kwetsbaarheden direct gekoppeld aan ransomware-campagnes. Dit blijkt uit onderzoek van ReliaQuest, een leider in AI-gedreven security operations.
VPN’s zijn een gewild doelwit
VPN’s zijn een fundamenteel onderdeel van netwerkbeveiliging van organisaties wereldwijd. Ze bieden veilige externe toegang tot systemen, versleutelen gevoelige gegevens tijdens de overdracht en beschermen interne netwerken tegen ongeautoriseerde toegang. Juist omdat zoveel organisaties erop vertrouwen, zijn VPN’s een gewild doelwit voor cyberaanvallers. Met gestolen VPN-inloggegevens krijgen aanvallers toegang tot het hele digitale ecosysteem van een organisatie – van bestandsservers en databases tot interne applicaties en cloudomngevingen. Uit het onderzoek blijkt dat aanvallers actief misbruik maken van 51 bekende kwetsbaarheden (CVE’s) in toonaangevende VPN-producten, waaronder die van Fortinet, Ivanti, Cisco, SonicWall en Citrix.
Vaak maken cybercriminelen misbruik van VPN-kwetsbaarheden door inloggegevens te stelen of door beheercontrole te krijgen. Deze twee tactieken overlappen elkaar vaak, waardoor aanvallers inloggegevens verzamelen én admin-toegang krijgen. Hiermee maximaliseren ze bereik en impact. Maar liefst 64% van de VPN-kwetsbaarheden zijn direct gekoppeld aan ransomware-campagnes, wat laat zien hoe cybercriminelen gestolen inloggegevens snel gebruiken om winst te maken.
Twee populaire CVE-aanvallen
In het rapport worden twee kwetsbaarheden uitgebreider besproken die aanvallers gebruiken om VPN’s aan te vallen. Beide kwetsbaarheden hebben sinds hun ontdekking een EPSS-score (Exploit Prediction Scoring System) van 97%, waarmee ze in de top 3% staan van kwetsbaarheden waarvan de kans het grootst is dat ze binnen de komende 30 dagen worden uitgebuit.
De eerste populaire kwetsbaarheid, CVE-2018-13379, is een vijf jaar oude path traversal-kwetsbaarheid in de VPN-apparaten van de FortiGate Secure Sockets Layer (SSL) van Fortinet. Veel VPN-systemen zijn nog niet gepatcht tegen oudere kwetsbaarheden, waardoor dit een vaste favoriet is voor het stelen van inloggegevens. Cybercriminelen krijgen direct toegang tot inloggegevens, zonder geavanceerde tools of expertise. Hiermee kunnen ze netwerken infiltreren, lateraal bewegen en waardevolle gegevens stelen. Het is eenvoudig, schaalbaar en direct waardevol. Voor beveiligingsteams is het extreem moeilijk om kwaadaardig gedrag te onderscheiden van normale activiteiten.
De tweede populaire kwetsbaarheid is CVE-2022-40684 in Fortinet FortiOS, FortiProxy en FortiManager network edge appliances. Aanvallers omzeilen authenticatie volledig, waardoor ze op beheerdersniveau toegang krijgen tot – en dus volledige beheercontrole hebben over – de getroffen apparaten. Er is geen geldige authenticatie nodig, waardoor aanvallers op afstand de controle over het apparaat kunnen overnemen. Ook krijgen ze controle over de netwerkinfrastructuur die het VPN voedt. Ze kunnen apparaatconfiguraties manipuleren, gevoelige gegevens stelen en schadelijke beleidsregels implementeren voor langdurige, onbeperkte toegang tot netwerken.
Wat kunnen organisaties hiertegen doen?
Het patchen van systemen is de eerste belangrijke stap, maar aanvullende beveiliging is essentieel om diefstal van inloggegevens door misbruik van deze kwetsbaarheden te voorkomen.
– Implementeer netwerksegmentatie achter VPN-toegang: segmenteer het netwerk zodat VPN-gebruikers in een geïsoleerde omgeving terechtkomen, waar toegang tot kritieke systemen alleen wordt gegeven na extra verificatie. Zelfs als het VPN gecompromitteerd is, kunnen aanvallers dan niet lateraal bewegen.
– Implementeer out-of-band secundaire verificatie: implementeer een apart authenticatiesysteem onafhankelijk van de FortiGate VPN, zoals hardware tokens of een multifactorauthenticatie (MFA)-oplossing die draait op een andere infrastructuur. Als aanvallers VPN-inloggegevens ontfutselen, kunnen ze deze niet gebruiken zonder de secundaire authenticatie.
– Implementeer IP-gebaseerde toegangscontrole met roterende toelatingslijsten: omdat de exploit afhankelijk is van directe HTTP GET-verzoeken naar een kwetsbaar endpoint, moet de FortiGate VPN-toegang worden beperkt tot specifieke IP-bereiken die regelmatig worden geroteerd. Door de doelruimte voortdurend te veranderen, verstoor je geautomatiseerde mass-scanning tools.
– Voer regelmatig configuratie-audits uit: aanvallers maken vaak gebruik van statische of verkeerd geconfigureerde instellingen, waardoor systemen nog lang na de eerste inbreuk kwetsbaar blijven. Door VPN-configuraties, gebruikersrollen, toegangsbeleid en API-logs regelmatig te controleren kunnen ongeautoriseerde wijzigingen, afwijkingen of kwaadaardig beleid worden ontdekt voordat deze verder worden misbruikt.
– Dwing segmentatie van het netwerk af: door kritieke systemen te segmenteren en VPN-verkeer te isoleren kunnen aanvallen niet lateraal door het netwerk bewegen, waardoor de impact van een inbreuk wordt beperkt.
– Schakel robuuste API-bewaking in: door API-activiteit te monitoren op Fortinet-apparaten kunnen ongeautoriseerde acties worden gedetecteerd, zoals het aanmaken van admin-accounts of beleidswijzigingen. Met realtime waarschuwingen voor ongebruikelijke API-oproepen kunnen potentiële dreigingen snel worden geïdentificeerd, zodat je kunt reageren voordat aanvallers diepere toegang krijgen.
