Kwetsbaarheden in SSL VPN’s worden vaak door cybercriminelen gebruikt om toegang te krijgen tot netwerken. Drie sinds 2019 gekende en sinds 2020 gepatchte kwetsbaarheden werden volgens Tenable Research tot zelfs halfweg 2021 routineus uitgebuit.
Cybercriminelen gebruiken vaak kwetsbaarheden in SSL VPN’s om toegang te krijgen tot verschillende netwerken. Eerder dit jaar stelde Tenable Research een top vijf VPN-kwetsbaarheden op van het jaar 2020. Drie ervan – namelijk CVE-2019-19781, CVE-2019-11510, CVE-2018-13379 – werden in 2019 reeds publiek gemaakt en in 2020 gepatcht. Toch buitten cybercriminelen ze uit tot halfweg 2021.
Dankzij hun eerste analyse, gaande van verkoopadviezen, waarschuwingen van de overheid en industriële data, kon het team van Tenable Research herbekijken hoe cybercriminelen gebruik hebben gemaakt van deze kwetsbaarheden én deze vergelijken met de nieuwe aanvallen dit jaar.
CVE-2019-19781
Verschillende criminele groepen volgen het pad van CVE-2019-19781 om toegang te krijgen tot de gezondheidsindustrie via Citrix ADC, Gateway en SD-WAN WANOP producten. De aanvallers lieten zelfs op online fora hun voorkeur voor deze kwetsbaarheid vallen, tussen januari 2020 en maart 2021. Het was zelfs de meest vernoemde CVE op Russische en Engelse dark web fora.
CVE-2019-11510
In april 2019, gaf Pulse Secure advies rond meerdere kwetsbaarheden in zijn Pulse Connect Secure SSL VPN-oplossing. CVE-2019-11510, een kwetsbaarheid die bestanden openbaar maakt, kreeg 10 als CVSS-score. In Q1 2021 toonde een rapport van Nuspire dan ook een stijging van 1,527 procent aan in het gebruik van de kwetsbaarheid. Ook werden er zelfs 16 malware-families ontwikkeld om deze CVE, naast anderen, uit te buiten in Pulse Connect Secure.
CVE-2018-13379
In mei 2019 patchte Fortinet een kwetsbaarheid in zijn FortiOS SSL VPN, waarmee cybercriminelen toegang tot documenten konden vergaren via geknutselde HTTP’s. In Q1 2021 kende het misbruik van de bug een groei van 1,916 procent. Volgens Kaspersky ICS CERT gebruikten criminelen de kwetsbaarheid als toegangspoort voor bedrijfsnetwerken om Cring ransomware uit te rollen.
lees ook
Hackers maken actief misbruik van FortiOS kwetsbaarheden
Gezien SSL VPN’s virtuele toegang bieden tot organisaties, zullen ransomware-groepen deze kwetsbaarheden blijven uitbuiten. Bedrijven zullen dus hun gebreken in SSL VPN-producten snel moeten oplappen. Gezien de ernst van de gekende kwetsbaarheden is het daarom essentieel om beschikbare updates meteen door te voeren. Eventuele uitdagingen voor de uitrol van een update in de bedrijfsinfrastructuur wegen niet op tegen het risico dat je loopt door de bugs ongeroerd te laten.