Een Chinese staatsgesponsorde hackersgroep voert aanvallen uit op zakelijke VPN-servers van Fortinet en Pulse Secure. De aanvallen volgen op de bekendmaking afgelopen maand dat beide producten kampen met beveiligingsfouten.
De hackersgroep APT5, ook wel bekend als Mangaan, is volgens een rapport van FireEye actief sinds 2007. Het betreft een grote dreigingsgroep bestaande uit verschillende subgroepen, voorzien van verschillende tactieken en infrastructuur. De staatsgesponserde hackers focussen zich vooral op telecommunicatie- en technologiebedrijven en hebben speciale interesse in satellietcommunicatiebedrijven, aldus ZDNet.
De hackersgroep voert sinds eind augustus internetscans uit om te zoeken naar VPN-servers van Fortinet en Pulse Secure. Het gaat naar alle waarschijnlijkheid om een subgroep van de grotere APT5-groep.
Fortune 500-bedrijven
De kwetsbaarheden waar APT5 zijn klauwen in heeft gezet, werden twee weken geleden gepresenteerd op de Black Hat-beveiligingsconferentie in Las Vegas. Het gaat om CVE-2018-13379 (Fortinet) en CVE-2019-11510 (Pulse Secure), die het beveiligingsbedrijf Devorce eerder dit jaar onthulde. Deze bugs stellen aanvallers in staat bestanden van de VPN-server op te halen zonder deze te verifiëren. Dit type kwetsbaarheden worden ook wel pre-auth file reads genoemd.
De hackers gebruiken deze twee kwetsbaarheden om bestanden met wachtwoordinformatie of VPN-sessiegegevens van de getroffen producten te stelen. Dankzij deze bestanden kunnen aanvallers kwetsbare apparaten overnemen. Het is overigens niet duidelijk of de groep er daadwerkelijk in geslaagd is apparaten te doorbreken.
De SSL VPN van Pulse Secure wordt beschouwd als het meest geavanceerde product op de SSL VPN-markt. Veel Fortune 500-bedrijven maken gebruik van deze oplossing om de toegang tot interne netwerken te beschermen. Fortinet is met zijn Fortigate VPN dan weer de absolute marktleider.
Volgens threat-intelligence-specialist Bad Packets zijn er wereldwijd zo’n 42.000 Pulse Secure VPN-servers online actief. Van de Fortinet VPN-servers zouden er wereldwijd ruim 480.000 actief zijn.
Nauwelijks gepatcht
Gebruikers van de VPN-servers hebben tot nu toe nauwelijks gebruik gemaakt van de verschenen patches voor CVE-2018-13379 (Fortinet) en CVE-2019-11510 (Pulse Secure). Al laten velen weten niet op de hoogte te zijn geweest van een patch, laat staan de urgentie daarachter. Zo bleek half augustus dat bijna 14.500 van de 42.000 Pulse Secure SSL VPN-servers nog steeds draaiden op een kwetsbare versie. Uit een tweede scan afgelopen week bleken nog steeds 10.5000 VPN-servers te draaien op een kwetsbare versie.
Pulse Secure beweert er echter alles aan gedaan te hebben om zijn gebruikers te waarschuwen. “We hebben niet alleen een openbaar beveiligingsadvies uitgegeven. Sinds april hebben we onze klanten, partners en serviceproviders actief geïnformeerd over de beschikbaarheid en behoefte aan de patch. We hebben dat gedaan middels e-mail, waarschuwingen, op onze communitysite, binnen onze partnerportal en onze website voor klantenondersteuning”, aldus Scott Gordon, Chief Marketing Officer bij Pulse Secure.
Gerelateerd: Spionage door natiestaten: de structuur van een APT en hoe je te beschermen