Nederlandse ethische hackers vinden kwetsbaarheden in VPN-server SonicWall

De kwetsbaarheden zijn ontdekt door ethische hackers van het Nederlandse securitybedrijf Computest Security. Bedrijven die deze servers gebruiken, wordt dringend geadviseerd om de door SonicWall vrijgegeven beveiligingsupdate zo snel mogelijk te installeren.

Onderzoek naar randapparatuur

Het is niet voor het eerst dat Computest Security kwetsbaarheden in randapparatuur opspoort. Tijdens de internationale hackwedstrijd Pwn2Own vonden de ethische hackers van het bedrijf beveiligingsproblemen in een router van QNAP en een netwerkschijf van TrueNAS. Op basis van deze ontdekkingen deed het bedrijf verder onderzoek naar andere apparaten, waaronder ook de SonicWall VPN-server.

Een van de gevonden kwetsbaarheden zat in het inlogprotocol van de VPN-server. Bij het inloggen wordt een sessienummer gegenereerd voor het identificeren van gebruikers. Dit nummer zou uniek en onvoorspelbaar moeten zijn, maar het team ontdekte dat deze nummers te voorspellen waren. Hierdoor konden ze zich voordoen als legitieme gebruikers en ongezien toegang krijgen tot het netwerk, met potentieel ernstige gevolgen voor de beveiliging van gevoelige gegevens.

“De VPN server van SonicWall is qua functionaliteit redelijk complex. Dit maakt het lastiger om het systeem adequaat te beveiligen”, zegt Daan Keuper, security-expert en ethisch hacker bij Computest Security. “Bovendien wordt er omwille van de gebruiksvriendelijkheid vaak nog een laag omheen gebouwd die de server juist extra kwetsbaar maakt. Het is daarom belangrijk de risico’s in kaart te brengen, edge devices mee te nemen in de security-monitoring, altijd de security-updates te installeren en waar mogelijk te switchen naar een veiliger alternatief dat is gebaseerd op bewezen technologie zoals IP-sec.”

'Installeer patch snel'

Computest Security adviseert gebruikers de beschikbare patch zo snel mogelijk te installeren. Want zodra informatie over een patch openbaar wordt, krijgen ook kwaadwillenden meer informatie over de achterliggende problemen en dit gebruiken voor het uitvoeren aanvallen.

Door verbeterde beveiliging van endpoints richten aanvallers zich steeds vaker op randapparatuur zoals VPN-servers, wat extra aandacht voor deze apparaten vereist. De noodzaak voor betere beveiliging van randapparatuur wordt versterkt door de invoering van de Cyber Resilience Act, die eind 2024 in Nederland van kracht is geworden. Deze wet verplicht fabrikanten, distributeurs en importeurs om digitale producten zoals VPN-servers en routers te voorzien van strenge beveiligingsmaatregelen gedurende de gehele levenscyclus van het apparaat. Bedrijven hebben tot 2027 de tijd om te voldoen aan de eisen, waarna niet-naleving kan leiden tot toezicht en hoge boetes.