Groot 2019-gat in VPN-software is door statelijke actoren misbruikt, onthult Justitie nu.
De grote kwetsbaarheid in VPN-software van Pulse Secure, wat vorig jaar wereldwijde impact had, is niet alleen door cybercriminelen benut. Ook statelijke actoren hebben nuttig gebruik gemaakt van het beveiligignsgat. De Nederlandse inlichtingendiensten AIVD en MIVD hebben dit gesignaleerd, meldt minister Ferd Grapperhaus van Justitie en Veiligheid nu aan de Kamer.
De Jusititie-minister informeert de Tweede Kamer in een brief over de analyse die hij heeft laten uitvoeren naar de gelopen risico's door de kwetsbaarheden in de VPN-softare van Pulse Secure. In die IT-oplossing voor beveiligde verbindingen met interne netwerken van organisaties zijn meerdere kwetsbaarheden ontdekt, wat in april vorig jaar openbaar bekend is geworden. De leverancier heeft het toen namelijk onthuld, bij de aankondiging van patches hiertegen.
Maart, april, mei, medium
De kwetsbaarheden zelf zijn de maand ervoor ontdekt, op 22 maart 2019, zo meldt minister Grapperhaus nu aan in zijn Kamerbrief hierover. Na de melding op 24 april door de VPN-leverancier is dit op 1 mei "onder aandacht van het Nationaal Cyber Security Centrum (NCSC) gekomen". Vervolgens heeft dat securityorgaan van de Nederlandse overheid een beveiligingsadvies opgesteld, wat door het aanvankelijke ontbreken van concrete exploitcode niet de allerhoogste risicoclassificatie (high/high) heeft gekregen. De inschatting voor de impact van misbruik was weliswaar hoog, maar het risico van daadwerkelijk misbruik werd op medium ingeschat.
"Classificatie medium/high betekent dat de kans op misbruik gemiddeld is en de schade aan het systeem bij misbruik hoog wordt geacht. Het verschil dat een exploitcode maakt is dat zonder die code de kwetsbaarheid zelf wel bekend is, maar nog niet bekend is hoe deze misbruikt kan worden", legt Grapperhaus uit aan de Kamer. In augustus is de situatie echter gewijzigd: toen is publiekelijke exploitcode verschenen, waarmee misbruik van de kwetsbaarheid dus wél mogelijk werd. Of: voor iedereen mogelijk werd zonder dat zij eerst zelf moesten uitzoeken hóe.
Alarmklok: exploitcode
Het NCSC heeft toen de classificatie verhoogd naar high/high en dat op 21 augustus als beveiligingsadvies gepubliceerd. Dit advies is ook actief medegedeeld aan organisaties binnen de Rijksoverheid én binnen wat voor Nederland is gedefinieerd als vitale infrastructuur. Organisaties waarvan bekend was dat ze gebruik maakten van de betreffende VPN-software zijn telefonisch door het NCSC geïnformeerd, geeft Grapperhaus nu aan. Diverse kwetsbare organisaties hadden de updates, die al maanden verkrijgbaar waren, nog niet geïnstalleerd. Ook het ministerie van Justitie zelf behoorde daartoe, is begin oktober al aan het licht gekomen.
Over die eigen vatbaarheid schrijft de verantwoordelijke minister nu: "Ook bij onderdelen die onder het ministerie van Justitie en Veiligheid vallen, is sprake geweest van de kwetsbaarheid in de VPN-software. Na de eerste waarschuwing van het NCSC op 1 mei 2019 zijn binnen mijn ministerie voor bijna alle onderdelen updates doorgevoerd. Toen het advies van het NCSC op 21 augustus 2019 werd omgezet in het high/high beveiligingsadvies bleek op aangeven van het NCSC dat nog twee resterende onderdelen de updates op dat moment niet hadden doorgevoerd."
"Deze onderdelen hebben binnen enkele dagen na dit high/high beveiligingsadvies de kwetsbaarheid met spoed verholpen middels een update. Dit is binnen de richtlijn van een week die de Baseline Informatiebeveiliging Overheid (BIO) stelt voor dit soort beveiligingsadviezen." Met de twee 'lakse' onderdelen van het ministerie is toen wel gesproken en er wordt nu geëvalueerd hoe dergelijke kwetsbaarheden in de toekomst sneller gepatcht kunnen worden, aldus Grapperhaus. Hij heeft zich eerder openlijk zeer kritisch uitgelaten over laksheid of uitstel in het doorvoeren van patches voor kritieke kwetsbaarheden.
APT's en staatshackers
In het geval van het grote VPN-gat is het gevaar van misbruik door kwaadwillenden niet slechts theoretisch gebleken én zijn er naast cybercriminelen ook andere aanvallende partijen. "De AIVD en de MIVD hebben gesignaleerd dat statelijke actoren misbruik maken van de kwetsbaarheid in de Pulse Secure VPN-software. Daarom hebben de AIVD en MIVD ook bedrijven en andere organisaties geadviseerd over weerbaarheidsverhogende maatregelen."
Ook Britse en Amerikaanse autoriteiten hebben gewezen op deze VPN-kwetsbaarheid, waarbij de minister aanhaalt dat die instanties ook hebben vermeld "dat advanced persistent threat-actoren (APT’s) kwetsbaarheden in VPN-software hebben misbruikt". In Nederland is voor zover bij Grapperhaus bekend geen schade ontstaan bij de Rijksoverheid of bij aanbieders in de vitale infrastructuur. "Evenwel tonen de mogelijkheden tot misbruik van dit soort kwetsbaarheden het belang aan van alertheid en het tijdig ingrijpen door organisaties als zij door het NCSC, het DTC [het eind 2017 opgerichte Digital Trust Center -red.], het CSIRT-DSP of op andere wijze gewaarschuwd of geïnformeerd worden."
Bron: agconnect
Schrijver: Jasper Bakker