NCSC: Nog veel bedrijven maken gebruik van kwetsbare vpn's

Het Nationaal Cyber Security Centrum waarschuwt dat er nog steeds veel bedrijven in Nederland zijn die van zwakke vpn's gebruikmaken. Het NCSC verwijst specifiek naar vpn's van Pulse Secure en Fortigate. Daarvan werd vorige maand bekend dat er serieuze beveiligingsrisico's in zaten.

Het aantal kwetsbare Pulse Secure- en Fortigate-systemen is volgens het NCSC de afgelopen maanden sterk afgenomen. "Toch lopen nog veel organisaties een ernstig risico door misbruik van deze kwetsbaarheden", schrijft het NCSC. Het Centrum raadt de bedrijven aan om de vpn-software te updaten, om nieuwe accounts met nieuwe wachtwoorden te maken, en om tweestapsverificatie in te schakelen. Daarnaast raadt het NCSC bedrijven aan hun logs te bekijken om te zien of er ongeautoriseerde toegang tot de vpn's is geweest. Er is al lange tijd een patch uit voor de kwetsbaarheden, die bekend staan als CVE-2019-0353 en CVE-2019-0446.

De kwetsbare systemen waar het NCSC naar verwijst kwamen vorige maand aan het licht door de Volkskrant en Reporter Radio. De krant en radiozender onthulden dat honderden bedrijven in Nederland gebruik maakten van vpn's van Pulse Secure en Fortigate, en dat daar kwetsbaarheden in zaten waarmee kon worden ingebroken op het netwerk. Hoeveel systemen er nu nog kwetsbaar zijn zegt het NCSC niet. Toen de kwetsbaarheden in de vpn's voor het eerst bekend werd zou het gaan om zeker 900 systemen. Daaronder zaten enkele grote bedrijven, zoals KLM en Shell.

Door Tijs Hofmans

Nieuwscoördinator

18-10-2019 • 17:35

50 Linkedin

Reacties (50)

50
50
25
4
0
19
Wijzig sortering
Ik ben maar wat blij met onze leverancier. Lek kwam eind mei(even uit mijn hoofd) boven water en begin juni kwamen ze proactief in de lucht om te updaten, ondanks dat we geen managed klant bij hen zijn.

Al met al was de downtime beperkt. We moesten wel een upgrade pad door met herstarts voor onze FortiGates, maar alles bij elkaar was het in een klein half uurtje gefikst.

We hebben later in juni ook nog 2FA ingevoerd om de boel nog wat verder te beveiligen.

Dat bedrijven nog steeds afhouden snap ik niet. Het is uiteindelijk toch de veiligheid van je interne netwerk en alle data daar op. Zeker bij de FortiGates maakt het niet eens veel uit (op wat korte downtime na). Ook wat oudere forticlients worden nog steeds ondersteund met firmware die gepatched is op je firewall.
Het probleem is dat veel leveranciers/it bedrijfjes dik geld vragen om gateway’s te update en dit soort beveiligingslekken niet uit klantvriendelijkheid of services update maar Juist gebruiken om uren te Schrijven.

En veel Kleine bedrijven hebben geen focus of besef van veiligheid en vooral niet van dit issue en zien dus alleen hoge extra kosten als het it-bedrijf/leverancier zich meld om te update. Daarnaast denken veel kleinen bedrijven vanwege de vrijblijvendheid of te wel het update hangt af van of ze wel of niet betalen. Dat risico wel mee valt.

[Reactie gewijzigd door xbeam op 19 oktober 2019 18:58]

Dat is waar, maar het is ook een afweging die je als bedrijf moet maken. Mogen kosten een reden zijn om je beveiliging niet op orde te hebben? Als je een lek hebt en je klantgegevens belanden op straat, dan ben je nog veel verder van huis qua kosten. De GDPR is daar niet bepaald mals in qua boetes. Een beetje leverancier moet je dat gewoon uitleggen.

Eerlijk is eerlijk, ik werk bij een bedrijf waar de kosten het probleem niet zijn en we hebben gelukkig ook een eerlijke leverancier. We kunnen het dus uit laten voeren.

[Reactie gewijzigd door justme256 op 20 oktober 2019 16:22]

Veel IT bedrijven hebben schrik om hun VPN te update met het feit dat ze dan Bijvoorbeeld eventueel thuiswerkers hinderen, bepaalde dingen niet meer ondersteund zijn en hiervoor eerst een update moeten uitrollen naar de Clients. Er zullen nog wel redenen zijn ma het is natuurlijk niet aangeraden dit uit te stellen. Ik ben voor op het Up to date houden van de systemen en zeker alles wat toegang tot je netwerk kan geven (Firewall, vpn, routers etc).

[Reactie gewijzigd door TheKillEngine op 19 oktober 2019 10:24]

Deze VPN's hebben backdoors, dus de enige optie is uitzetten of updaten. Systemen die vanaf het Internet toegankelijk zijn moet je sowieso up2date houden.
Ik zou als IT bedrijf liever een halve dag downtime hebben dan bekende en openbare backdoors actief in het netwerk te willen hebben. Ik zou het zelf nalatigheid willen noemen als een IT bedrijf de VPN verbinding niet zou upgraden als de genoemde backdoors actief zijn.
Aandeelhouders kijken puur naar geld en dan op relatief korte termijn vaak.
Niet alleen aandeelhouders hoor. Er zijn ook genoeg mensen die met keiharde deadlines te maken hebben. Ook deadlines die niet ruim van te voren zijn in te plannen. Denk aan een salesteam dat op vrijdagmiddag het bericht krijgt van de klant om op maandagochtend de BAFO te leveren.
Voor degenen die denken "wasda"? BAFO = Beste And Final Offer
Het blijft allemaal een kwestie van geld en prioriteiten.
Het sales team zou ook op kantoor kunnen komen zitten, als het echt zo belangrijk is.
Als de laptop van de medewerker stuk gaat of de stroom uitvalt wordt er ook een oplossing gezocht.
Natuurlijk zijn er altijd uitzonderingen, maar als zo'n uitzondering weken lang duurt gaat er toch iets niet goed.

Als IT'er in het nauw is dit natuurlijk het moment om de prioriteiten een beetje bij te stellen en zorgen dat er voortaan voldoende budget is voor high-availability.
Zo'n klant moet je niet willen want dan weet je van te voren al dat het een belabberd project gaat worden.

Misschien een leuke win voor de sales afdeling, de rest van het bedrijf zou het liefst die sales persoon kielhalen.
Logisch, maar ik vraag me af wie er dan verantwoordelijk gehouden gaat worden als het mis gaat..
Je moet natuurlijk ook tijd en budget hebben voor de migratie.

Leuk als het bestuur zegt ja we veranderen dat maar je al een paar maand achterstand met andere zaken hebt.
Het domme is dat business critical tijden toch vaak buiten de "kantooruren" vallen bij de eindgebruiker.

Als jij een email of intranet pagina toevoegt dat een serieuze update nodig is om de veiligheid van het bedrijf up-to-date te houden bijvoorbeeld de VPN services, dan houden ze er echt wel aan. Dan plannen ze het anders. Kan me niet herinneren bij ons dat mensen gaan klagen.
Op zondag en als dat niet mogelijk is in na werk tijd?
Een halve dag, makkelijk gezegd. Dat ligt er maar net aan wat er in de boeteclausule in de SLA van de betrokken diensten staat.
Ik ben wel benieuwd op basis van welke informatie je de uitspraak doet over wat er bij veel IT bedrijven aan de hand zou zijn dat ze niet updaten. Er kunnen heel veel redenen zijn om niet te updaten, dus waarom noem je specifiek deze oorzaak?

edit:
Dank voor de verduidelijking @TheKillEngine . Het is nmm niet onbelangrijk om te weten dat bedrijven meerdere redenen kunnen hebben om (nog) niet te updateen. Aan de offtopic tweakers: Of willen we als tweakers vanuit de luie stoel maar een mening roepen zonder interesse te hebben in wat deze bedrijven beweegt om niet te updaten en maar wat aan te nemen wat er aan de hand zou zijn? Misschien hebben veel bedrijven zo slecht contract met hun leverancier dat ze niet eens weten dat ze deze produkten gebruiken. Dat is een heel andere situatie dan een bedrijf dat bewust een keuze maakt. Bedrijven gaan echt niet spontaan patchen omdat je als tweaker een mening hebt zonder interesse te hebben in wat een bedrijf beweegt om niet te updaten.

[Reactie gewijzigd door kodak op 19 oktober 2019 11:34]

Heb de tekst ondertussen aangepast was het woordje “bijvoorbeeld” vergeten omdat ik hier geen uitspraak wil doen dat dit de enige reden is, had hier gewoon een voorbeeld opgegeven van een eventuele uitstel maar er zijn er natuurlijk meerdere
Wij zijn bij al onze bedrijven alles al aan het updaten.. maar dat is wel veel werk! Omdat de fortigate meerdere upgrade Paden heeft :(
Wij zijn bij al onze bedrijven alles al aan het updaten.. maar dat is wel veel werk! Omdat de fortigate meerdere upgrade Paden heeft :(
Dat is toch alleen zo als je de boel al (flink) hebt laten versloffen als IT afdeling en de boel nooit fatsoenlijk bijgehouden hebt? Althans dat is wat ik merk in dit soort gevallen, hoe meer je achter loopt, hoe meer werk het updaten vaak is omdat je tussenliggende releases moet installeren.

Dit zijn gewoon zaken waarbij iedere release goed naar gekeken moet worden en alleen bij hoge uitzondering een upgrade overgeslagen zou moeten worden.
Het ligt aan het bedrijf, we hebben bedrijven die gewoon 0 downtime kunnen hebben, dan is de foritgate lastig te update, tenzij we een backup ljin laten lopen wat weer geld kost door tijd etc etc.. maar inderdaad normalieter wordt alles geupdate!
Het ligt aan het bedrijf, we hebben bedrijven die gewoon 0 downtime kunnen hebben, dan is de foritgate lastig te update, tenzij we een backup ljin laten lopen wat weer geld kost door tijd etc etc.. maar inderdaad normalieter wordt alles geupdate!
Sorry, maar kúnnen of wíllen hebben zijn twee totaal verschillende dingen.
Ik concludeer even dat jij in een ict-bedrijf werkt wat diverse klanten bedient.

Als je een klant hebt die zegt nooit down te kunnen zijn, maar geen geld over heeft voor een backuplijn, dan is die claim dus simpelweg miet waar. Ze roepen het wel, maar menen het dus niet echt. Maar let op wie de schuld krijgt als er ingebroken wordt via een bekend lek. Dan kijken ze jou aan. Let dus altijd goed op bij/met zulke klanten.
Makkelijk praten vanaf de zijlijn. In de praktijk worden de deals gesloten door mensen die t vaak maar half begrijpen en daar heb je t maar mee te doen als engineer.
Maar als engineer kan je toch weer escaleren naar de account manager die dit risico met de klant bespreek :+
Makkelijk praten vanaf de zijlijn. In de praktijk worden de deals gesloten door mensen die t vaak maar half begrijpen en daar heb je t maar mee te doen als engineer.
Niks zijlijn!
Als een bedrijf zegt niet offline te kunnen zijn, daarvoor niet bereid is 2 lijnen te nemen (wat meestal niet zo heel duur is), maar, om maar niet offline te gaan, níet wil dat er beveiligingsupdates geïnstalleerd worden en dan een enorm risico lopen willen op hacks...
En nu gaat het dan even over lijnen en routers. Er zijn vast ook nog achterliggende servers. Een router updaten gaat meestal vrij snel en weinig risico. Een server updaten duurt langer en groter risico dat het misloopt.

Maar waar ik op wees is dat deze klanten enorm gevaarlijk zijn om te hebben. Door deze randvoorwaarden kun je het namelijk als ict-bedrijf nooit goed doen. Kortom: dit soort klanten moet je echt helpen en betere keuzes laten maken of niet willen hebben. Uit ervaring kan ik je echt vertellen dat er altijd gedonder van komt....
Zoals Belgie die dat nieuwe mainframe naast het oude liet lopen in de testfase?

Zal vast niet goedkoop geweest zijn hoor.

Contracten moet je sowieso mee oppassen zonder een leger aan advocaten
Ik heb t idee dat je mijn opmerking niet begrepen hebt. Jouw opmerking, waar ik op heb gereageerd, was geadresseerd aan een techneut die (imho) te maken heeft met een situatie die hij niet heeft veroorzaakt. Het is dan makkelijk roepen, maar bedrijven werken helaas niet altijd als geoliede machines. Fouten, zoals het verkopen van iets zonder de juiste randvoorwaarden worden nu eenmaal gemaakt. En, ja, dat kun je aangeven. Maar helaas is t ook (te) vaak zo dat daar geen gehoor aan gegeven wordt.
Ehmmm je kan toch een active - pasive HA doen (of zelfs active - active) dan kan je ze om en om updaten. Dat doen ze zelfs automatisch voor je... Heb je nagenoeg van een hickup geen downtime...
Dan hebben je toch iets niet goed ingericht. Welke kantoor toepassing kunnen niet even buiten kantoor tijden 15 min zonder internet. (Veel langer duurt een update en rollback niet).
Meeste gateways kunnen update naar een 2e boot image waardoor de gateway niet down gaat tijdens de update en je daarna gewoon van boot image heen en weer terug (rollback) kan wisselen met minimale down time van een herstart. (Maandag update en dinsdagmorgen 10 min voordat het kantoor open gaat de nieuwe image starten en zodra er problemen zijn switch je terug naar vorige image)

https://kb.fortinet.com/k...ink.do?externalID=FD31908

Daarnaast als je bedrijfs kritieke software/diensten hebt omdat je deze bijv aanbied aan je klanten is dit zo belangrijk dat je die niet op kantoor maar in data-center hebt draaien waar je dit kan voorbereiden en je het verkeer tijdens update tijdelijk over een secundaire verbinding/gateway kan laten lopen.

[Reactie gewijzigd door xbeam op 19 oktober 2019 19:22]

Dan mag ik hopen dat je ook een backup internetverbinding en HA firewall hebt. En in dat geval kan de upgrade met 0 downtime verlopen. Juist die klant zou het minste probleem moeten zijn.
Wij waren dit in mei al aan het voorbereiden voor al onze klanten. Toen het bericht in het nieuws kwam hadden we dezelfde dag al onze klanten gebeld voor akkoord tot bijwerken. Vervolgens in 2 avonden tijd en diverse medewerkers was alles bijgewerkt.

Ik snap wat anderen zeggen wel dat het bij sommigen bedrijven erg achter loopt. Zeker bij die kleine bedrijven die geen prioriteit hebben voor IT. Pas als er een incident is mag er iets gedaan worden.
Precies dit! Of als het te laat is 8)7
Ik neem aan dat je bij een of andere provider werkt die (o.a.) een VPN toegang aanbiedt.

Als klant zou ik zeggen: dat is jouw product, jij zorgt voor de noodzakelijke updates. Volgens contract mag je (bijvoorbeeld zondag tussen 02:00 en 05:00 down gaan voor regulier onderhoud,mits aangekondigd aangekondigd. Noodreparatie kan met een kleine aankondiging < 24 uur). Daarvoor heb je mijn toestemming niet nodig.

Als je vijf maanden gaat zitten wachten totdat je van alle klanten toestemming krijgt mag je jezelf toch wel even achter de oren krabbelen en nadenken of je goed bezig bent.

En als je downtime voor onderhoud niet contractueel afgedekt hebt dan mag de jurist zich ook e.e.a. afvragen.
Dat klinkt heel leuk maar er zijn ook 'contractloze' klanten. Die willen wel de mogelijkheden maar niet de kosten |:(

[Reactie gewijzigd door joenevd op 19 oktober 2019 10:31]

Als in zonder supportcontract? Tsja. Dan heb je dat toch ook afgedicht in je verkoop contract? “Enige schade voortvloeiend uit het gebruik van door ons geleverde apparatuur zonder support contract kan niet worden verhaald bla bla, apparatuur wordt verkocht as-is, updates is eigenverantwoordelijkheid”.
Klopt, maar het gaat nu niet om verantwoordelijkheid maar waarom bedrijven zover achterlopen.
Neen, want in dat geval bepaal jij zeker wanneer jij update en niet degene die niet de lasten maar wel de lusten willen hebben. Dat soort klanten hebben gewoon maar te slikken dat "Zondag over 2 weken gaan we tiussen 02:00 en 05:00 over naar de nieuwere versie, zorg maar dat je daarvoor gereed bent (zie document op onze website".

Met klanten die wel een service contract willen hebben kan je in overleg, waarbij je echt wel wat dwang mag gebruiken (niemand wil een onveilig product), maar die kunnen enige inspraak hebben..
Ja precies. Daarmee heb je actief een dialoog om de beste tijd binnen een window van, zeg, 2 weken te prikken.

Non-SLA klanten kun je gewoon in batch meenemen of alleen een advies uitschrijven dat ze het zelf kunnen doen of tegen kleine betaling.
Onzin als je auto een veiligheidsprobleem heeft wordt deze ook terug geroepen en wordt probleem op kosten van de leverancier/fabrikant op gelost of je nu wel of geen sla hebt.

Bij grote veiligheidsrisico’s moet een leverancier/it bedrijf gewoon zijn verantwoordelijkheid nemen en de boel update onder garantie en dit soort issue niet als verdienmodel gebruiken zoals er velen nu doen.

Daar zit het probleem en niet zozeer bij klant.

[Reactie gewijzigd door xbeam op 19 oktober 2019 19:51]

Maar die update is toch ook gewoon beschikbaar? Kunnen ze zelf gratis installeren. Iets wat bij auto onderdelen wat lastiger is en dus zegt de fabrikant vooruit dat doen we dan wel even voor je.

Je gaat toch ook niet naar de Applestore om iOS 13.1.2 te laten installeren?
Ow zeker wel dat mensen dat doen. Ga maar eens bij de telefoon winkel vragen hoevaak mensen langs komen om te helpen met dat soort dingen.

En als het zo eenvoudig is dat iedereen het kan waarom vragen veel IT leveranciers er dan 2 tot 300 euro voor?

Dat bedoel ik met verantwoordelijkheid nemen update bij zulke issues de frimware gewoon een gratis. Heb je gelijk een rede om weer bij al je klanten langs te komen, win je vertrouwen en verkoop je ze iets anders.

[Reactie gewijzigd door xbeam op 20 oktober 2019 14:12]

Dat er een aantal mensen zijn die dat doen, betekent niet dat het ook echt kan. Apple verpeend je die service toevallig wel. Dat zit bij de aankoop in. Je kunt bij een Apple store binnenlopen om cursussen te doen over het gebruik van je iPad of bijvoorbeeld een fotocursus in de stad. Goed dat ze dat doen en is niets anders dan marketing.

Voor een appliance voor business doeleinden gelden dat soort dingen echter niet. Daar is juist een los service contract wat je als bedrijf kunt afsluiten. Immers tijd is geld. IT leveranciers rekenen daar een paar honderd euro voor omdat er veel meer kosten zitten aan de rest van het jaar dan alleen die twee kwartier die je nodig hebt om een update uit te voeren. Dat is ook geld om cursussen voor andere apparatuur te kunnen bekostigen en om een buffer op te kunnen bouwen als er eens een keer geen updates uitkomen gedurende een bepaalde periode.

Om het even te chargeren:
Pressing a button: €5
Knowing which button to press: €295

Het snel door kunnen werken na een update koop je dus in de vorm van een service contract. Neem je dat niet af dan is het aan jou om de kennis op te doen om te weten hoe je bepaalde dingen gedaan krijgt. Dat iemand die dit al zeven jaar doet het in vijf minuten kan, komt door de investering die ze er in hebben gestoken in de vorm van tijd en geld. Die moet een keer terug worden verdient.

Dit is echt een nutteloze discussie om te gaan voeren. In de enterprise wereld werkt het totaal anders dan in de consumentenwereld, waar men altijd vind dat men ergens recht op heeft. In enterprise is het heel simpel. Je betaald of je doet het zelf. Dingen liggen vast in een contract en service die je extra krijgt is mooi meegenomen voor jou, maar geen recht dat je hebt ofzo.
Gaat niet helemaal op. Garages worden ook (deels) betaald vanuit de fabriek om dit soort dingen uit te kunnen voeren voor hun klanten. Bij software draaien wij als leveranciers op voor de fouten die de fabrikanten maken. Er is geen enkele fabrikant die leveranciers betaald om dit uit te voeren.
Klopt. Maar dan zit er toch iets niet goed in keten. Als een automerk niet mee betaald om grote veiligheidsproblemen op te lossen dan keren de garage’s dat merk vrij snel de rug to en als ze kunnen switchen naar een ander merk zullen ze dat doen.

Maar het lijkt er op het in de it geaccepteerd is dat de klant betaald het oplossen van gebreken van de fabrikant.

Volgens mijn persoonlijke mening is dat als je kijkt naar alle producten die verkocht in de EU is dat vrij bizar.
Dan koop je dus een commercieel VPN systeem zodat verantwoordelijkheid, patch management en garanties een beetje uitgesmeerd of verlegd worden en dan krijg je het als bedrijf alsnog voor elkaar om het zo verkeerd te doen dat je er nog niet beter van bent geworden 8)7 Je zou haast denken dat je een wet voor nalatigheid in de IT nodig hebt om ze in beweging te krijgen.

Er zijn altijd smoesjes waarom het niet meteen gepitcht is, maar ook als we die voor waarheid aannemen zijn er nu zo veel maanden overheen gegaan, dat praat je als organisatie echt niet meer recht.

[Reactie gewijzigd door johnkeates op 18 oktober 2019 17:39]

Dan zijn er nog voldoende (grote) bedrijven die er voor kiezen om een boete te nemen in plaats van eventuele dure nieuwe hardware en/of licenties af te nemen.

Leuk idee, maar daar heb je alleen de kleine bedrijven mee. Net zo belangrijk! Maar die kunnen niet de schaden bekostigen van een data-lek omdat hun VPN lek is, en een boete.
Je kan in alle gevallen gewoon vooraf de TCO berekenen inclusief periodiek onderhoud en incidenten, en dan weet ook een klein bedrijf of zelfstandige wat er te verwachten is. Kan je het niet dragen, dan is je bedrijf gewoon niet houdbaar. Dat werkt overigens voor alles als bedrijf: stel dat je een schilder bent en de verf niet kan betalen dan werkt je bedrijf ook niet.
Met Fortinet kun je als je enigszins bij blijft relatief snel updaten zonder allerlei tussenliggende releases nodig te hebben. Ik verwacht dat in de toekomst de update cyclus alleen maar sneller zal komen daar er vaker kwetsbaarheden gevonden zullen worden. Is gewoon zaak om de voordeur goed dicht te houden
Jammer (misleidend) dat het Openvpn logo bij het artikel staat (iig op Twitter) en in het artikel er met geen woord over gerept wordt.
Ik vermoed dat ASML niet bij deze groep zit.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee