Kwetsbaarheid in Fortinet en Pulse Secure SSL VPN’s actief aangevallen

Kwaadwillenden vallen momenteel twee kwetsbaarheden in de SSL VPN’s van Fortinet en Pulse Secure actief aan. De Britse beveiligingsonderzoeker Kevin Beaumont heeft hiervoor op Twitter gewaarschuwd.

Voor beide beveiligingslekken zijn updates uitgebracht, maar online zijn nog veel systemen te vinden die hier niet mee zijn beschermd.

Black Hat-conferentie

Op een schaal van 1 tot en met 10 wordt de ernst van de kwetsbaarheid in de SSL VPN van Pulse Secure met een 10 beoordeeld. Op de onlangs gehouden Black Hat-conferentie in Las Vegas werd het lek uitgeroepen tot het beste server-side beveiligingslek van het afgelopen jaar. Kwaadwillenden kunnen via deze kwetsbaarheid zonder inloggegevens de VPN-server van organisaties overnemen, net als alle VPN-clients. Toegang via HTTPS en het verzenden van een speciaal geprepareerde Uniform Resource Identifier (URI) is daarvoor genoeg. Pulse Secure heeft op 24 april een patch voor de kwetsbaarheid uitgebracht. Op 20 augustus verscheen er een exploit online die misbruik maakt van het beveiligingslek. Volgens Beaumont vinden er sinds 22 augustus ook daadwerkelijk aanvallen plaats.

Perimeter security

Via het beveiligingslek in de Fortinet SSL VPN firewalls kan een kwaadwillende op afstand inloggegevens bemachtigen. De apparaten worden als perimeter security ingezet, waardoor het een gevaarlijk beveiligingslek wordt, aldus Beaumont. Voor deze kwetsbaarheid verscheen op 24 mei een update, gevolgd door twee exploits op respectievelijk 14 en 17 augustus. Sinds 21 augustus wordt het beveiligingslek actief aangevallen. Volgens Beaumont zijn er nu nog een half miljoen van dergelijke VPN-apparaten op internet te vinden.

Aanmelden voor onze nieuwsbrief