Waarschuwing voor compromittatie SOHO routers door APT Sandworm

Onlangs hebben NCSC-UK, CISA, FBI en NSA gewaarschuwd voor de compromittatie van ‘small office and home office’ routers van onder andere het merk Watchguard. Deze SOHO-routers worden in de vorm van een botnet door de actor APT Sandworm ingezet voor verschillende doeleinden.

Het NCSC heeft aanwijzingen dat ook in Nederland SOHO-routers zijn gecompromitteerd in deze campagne. In samenwerking met FBI, CISA, DOJ en NCSC-UK heeft Watchguard ook een beveiligingsadvies beschikbaar gesteld met aanvullende informatie over het patchen van de kwetsbare Watchguard-routers. Het NCSC adviseert om na te gaan welke netwerkapparatuur u in gebruik heeft, en om zo nodig deze adviezen op te volgen. Daarnaast raadt het NCSC aan om in bredere zin de (on)veiligheid van netwerkapparatuur – evenals de diverse dreigingen daartegen – op te nemen in uw securityaanpak.

Zoals blijkt uit de beveiligingsadviezen van het NCSC, is netwerkapparatuur, waaronder firewalls, routers, en VPN-appliances, geregeld kwetsbaar voor misbruik door middel van bekende kwetsbaarheden. Het is realistisch om ervan uit te gaan dat een breed scala aan netwerkapparatuur zowel ontdekte (maar nog niet publieke) kwetsbaarheden evenals nog niet ontdekte kwetsbaarheden bevat. Basismaatregelen zoals patching, netwerksegmentatie, en het reduceren van het aanvalsoppervlak leveren een bijdrage aan uw digitale weerbaarheid. Om persistente aanvallers tegen te gaan is er meer nodig. Richt uw informatiesystemen in vanuit de aanname dat uw netwerkapparatuur kwetsbaar en mogelijk gecompromitteerd is (‘zero trust’). Door een goed ingerichte architectuur is detectie en respons makkelijker, en is de kans groter dat u een aanval kan stoppen voordat deze succesvol is.