Aanvallers hebben via een bekend beveiligingslek in de vpn-software van Pulse Secure van meerdere Nederlandse bedrijven de wachtwoorden gestolen. Die verschenen onlangs op een forum voor cybercriminelen. Het gaat onder andere om een dochterbedrijf van het industriële concern VDL, datacenterbedrijf ITB2 en de in kerstversieringen gespecialiseerde groothandel Coen Bakker Decom, zo meldt het Financieele Dagblad vandaag.

De kwetsbaarheid in Pulse Secure werd vorig jaar op 24 april gepatcht. Via het beveiligingslek in de software kan een aanvaller zonder inloggegevens de vpn-server van organisaties overnemen, alsmede alle vpn-clients. Alleen toegang via https en het versturen van een speciaal geprepareerde uri is voldoende om de kwetsbaarheid uit te buiten. Sinds 22 augustus vorig jaar vinden er ook daadwerkelijk aanvallen plaats.

In oktober waarschuwde het Nationaal Cyber Security Centrum (NCSC) nog dat veel Nederlandse organisaties gebruikmaakten van kwetsbare Pulse Secure-software. Een maand eerder meldde een beveiligingsonderzoeker dat tientallen Nederlandse bedrijven en organisaties de beschikbare update niet hadden geïnstalleerd.

Aanvallers kunnen via de kwetsbaarheid toegang tot de vpn-omgeving krijgen en het achterliggende netwerk aanvallen. Zo zijn er cybercriminelen die via het Pulse Secure-lek ransomware verspreiden. Afgelopen april waarschuwde het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid dat het meerdere incidenten had gezien waarbij vpn-wachtwoorden die via de kwetsbaarheid waren gestolen, maanden nadat organisaties de update hadden uitgerold, werden misbruikt.

Begin augustus publiceerde een gebruiker van een forum voor cybercriminelen een lijst met plaintext gebruikersnamen en wachtwoorden van negenhonderd zakelijk vpn-servers. Het ging daarnaast om ip-adressen, ssh-keys van elke server, lijst van alle lokale gebruikers en hun wachtwoordhashes, details van beheerderaccounts, laatste vpn-logins, waaronder gebruikersnamen en plaintext wachtwoorden, en vpn-sessiecookies, zo meldde ZDNet.

Het Nederlands Security Meldpunt liet vervolgens weten dat ook Nederlandse ip-adressen op de lijst voorkomen. Naast de Nederlandse bedrijven zijn ook het nationale onderzoeksinstituut van Spanje CSIC, porseleinfabrikant Villeroy & Boch en het Luxemburgse laboratoriumbedrijf Eurofins getroffen.

Bij Coen Bakker Deco was men niet op de hoogte van de aanval. De Pulse Secure-server van het bedrijf wordt sinds kort niet meer gebruikt. Ook ITB2 laat weten dat er geen gebruik meer van de server wordt gemaakt. VDL was niet in staat te reageren. Het FD meldt dat de bedrijven niet langer kwetsbaar zijn

Bron: security.nl