Reconstructie Pulse Secure

Intern netwerk honderden bedrijven en ministerie lag maandenlang wagenwijd open

Luchtverkeersleiders aan het werk in de toren op Schiphol. Beeld Feike Westenbroek

Het interne netwerk van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, lag maandenlang wagenwijd open voor kwaadwillenden.

Matthijs Koot scrollt zaterdagmiddag 24 augustus routinematig door de technische logboeken van zijn website. Een verslavende handeling: de 37-jarige beveiligingsexpert van Secura houdt nauwlettend bij of er digitale aanvalspogingen worden gedaan. Tussen de normale data van gebruikers treft hij ditmaal een opmerkelijke code. Om 10.45 uur heeft een onbekende bezoeker op zijn website naar een kwetsbaarheid gezocht.

Koot, bekend met computertechniek, zoekt naar de herkomst van de melding en stuit op een lek in een VPN-verbinding, het virtuele privénetwerk. VPN’s zijn belangrijk voor de veiligheid van bedrijfsnetwerken: ze zorgen voor een beveiligde verbinding tussen de gebruiker en een intern netwerk. Grote bedrijven maken er vrijwel allemaal gebruik van. Koot begrijpt dat het om Pulse Secure gaat, een van de vier belangrijkste VPN-aanbieders wereldwijd met 20 duizend klanten.

De rijksoverheid is een van de klanten, evenals AEX-bedrijven als Shell en Boskalis, defensiebedrijven, de Luchtverkeersleiding Nederland en zorgverleners. Ook DPG Media, eigenaar van de Volkskrant, maakt gebruik van deze VPN-verbinding.

Het lek is door twee onderzoekers uit Taiwan ontdekt en in maart van dit jaar al aan Pulse Secure gemeld. Het gaat om een serieus geval: aanvallers kunnen vrij eenvoudig vanaf internet bestanden uitlezen, wachtwoorden en gebruikersnamen achterhalen en zelf gebruikmaken van de VPN-verbinding alsof ze werknemer zijn. Voor het misbruik is slechts basale computerkennis nodig. Hacken hoeft zelfs niet: de voordeur staat via Pulse Secure al open. Wanneer aanvallers binnen zijn, kunnen ze spionagesoftware in het interne netwerk plaatsen.

Alarm

Inlichtingendiensten gebruiken allerlei trucs om bij bedrijven binnen te komen, maar voor dit lek hoeven ze nauwelijks moeite te doen. Ze wandelen zo door. Dat betekent ook dat als de kwetsbaarheid bekend wordt, duizenden bedrijven wereldwijd meteen gevaar lopen. Als Pulse Secure van de kwetsbaarheid hoort, brengt het bedrijf in april een update uit voor alle klanten. ‘Verschillende kwetsbaar­heden’ zullen met de update opgelost worden. ‘We adviseren met klem om zo snel mogelijk te updaten’, schrijft het bedrijf.

Ook het Nederlandse Nationaal Cyber Security Center (NCSC) adviseert in april de update over te nemen. De kans op misbruik schat het NCSC ‘laag’ in, maar als een aanvaller de kwetsbaarheden in de VPN misbruikt is de schade wel groot. Pulse Secure stuurt eind juni een herinnering aan alle gebruikers van de VPN om te waarschuwen voor het lek en om nogmaals te benadrukken dat het belangrijk is de update uit te voeren.

De beide Taiwanese onderzoekers delen vervolgens in augustus hun ­bevindingen op de Amerikaanse ­hackersconferentie Blackhat in Las Vegas. Ze vertellen in hun presentatie – ‘Het intranet binnendringen zoals de Amerikaanse NSA dat doet’ – hoe ze de kwetsbaarheid ontdekten en hoe die te misbruiken is. Ze laten zien hoe ze bedrijven binnenkomen – onder andere Twitter – en wat aanvallers nog meer kunnen. De presentatie en het rapport over het lek leiden tot een nieuwe melding van het Nederlandse NCSC. Omdat nu ook bekend is hoe het lek te misbruiken is, geeft de ­Nederlandse digitale autoriteit op 21 augustus een nieuw advies af. De inschatting van de mogelijke ernst van het lek verandert. Het NCSC schat de kans op misbruik nu op ‘hoog’ en de ernst eveneens op ‘hoog’, de hoogst mogelijke waarschuwing.

Chinese staatshackers

Dat die waarschuwing terecht is, blijkt als technologiewebsite ZDNet bericht dat Chinese staatshackers via internet zoeken naar bedrijven met Pulse Secure om het lek te misbruiken voor spionage. De Chinese spionagegroep wordt APT5 genoemd en bestaat uit een groep hackers die voornamelijk telecom- en technologiebedrijven aanvallen. . De inlichtingendienst AIVD zegt dat het ‘voorstelbaar’ is dat de kwetsbaarheid door ‘statelijke actoren’ wordt misbruikt.

Als Matthijs Koot zaterdag 24 augustus zelf onderzoek gaat doen naar Pulse Secure bij Nederlandse ip-adressen, ziet hij dat tientallen bedrijven ondanks de updates en waarschuwingen van het NCSC nog steeds kwetsbaar zijn. ‘538 systemen waren kwetsbaar, waaronder systemen van vele tientallen Nederlandse organisaties, ook grote namen. Die hadden de update nog niet uitgevoerd. In veel gevallen betrof het productieomgevingen en stonden interne netwerken wagenwijd open. Ik schrok me rot.’

Koot doet direct melding bij het NCSC. Hij wil niet zeggen welke bedrijven en instanties hij heeft gevonden maar vertelt dat er twee tussen zitten die cruciaal zijn voor de nationale veiligheid. Koot: ‘De rijksoverheid zat ertussen, beursgenoteerde bedrijven, banken, verzekeraars en zorgpartijen.’ Allemaal hebben ze maandenlang de cruciale update van Pulse Secure niet uitgevoerd. In die tijd konden aanvallers zo het interne netwerk betreden.

Koot, al jarenlang werkzaam in IT-beveiliging: ‘Dit is een van de ernstigste situaties die ik in mijn carrière ben ­tegengekomen.’

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen: ‘Deze VPN-kwetsbaarheid is heel ernstig, niet alleen omdat die makkelijk ingezet kan worden, maar ook omdat VPN’s juist gebruikt worden om zaken af te schermen waar anderen niet bij mogen: het gaat om een kwetsbaarheid in een ­beveiligingsslot.’

Lastige positie NCSC

Twee bronnen vertellen op voorwaarde van anonimiteit aan de Volkskrant om welke bedrijven het onder andere gaat. Dat doen zij omdat ze zich zorgen maken over het gebrekkige IT-besef, de laksheid bij bedrijven maar vooral vanwege de ongelukkige positie van digitale waakhond NCSC. Een bron: ‘De NCSC kon maandenlang niet voorkomen dat de nationale veiligheid gevaar liep. Waarschijnlijk wisten ze het niet eens. Dit is een organisatie die is opgericht met als doel digitale veiligheid te bevorderen.’

Bij de bedrijven waarvan het interne netwerk deels of geheel openstond, zitten luchtvaartmaatschappij KLM, oliemaatschappij Shell, baggerbedrijf Boskalis, defensiebedrijf IAI, diverse andere defensiebedrijven, het ministerie van Justitie en Veiligheid en de Luchtverkeersleiding Nederland. Die laatste is verantwoordelijk voor de veiligheid van het luchtverkeer en hoort tot de meest vitale onderdelen van Nederland. Bronnen bevestigen dat de VPN-verbinding in deze gevallen niet aan een testomgeving was gekoppeld, maar aan de daadwerkelijke productieomgeving. Dat betekent dat werknemers Pulse Secure gebruikten om toegang tot systemen en bestanden te krijgen. Aanvallers konden via de VPN het interne netwerk van de Nederlandse Luchtverkeersleiding binnenkomen.

Wachten met de update

Waarom voerden al deze organisaties de update uit april niet door? Pas als Matthijs Koot in het weekend van 24 en 25 augustus het NCSC inlicht, volgen maatregelen. Dan gaan enkele systemen meteen ‘offline’ en wordt de update alsnog uitgevoerd.

Waarom deed het NCSC eerder niets? Woordvoerder Anna Sophia Posthumus zegt dat ‘doelgroepen van het NCSC - rijksoverheid en vitaal – en andere organisaties’ die Pulse Secure gebruiken ‘actief over de kwetsbaarheid’ zijn geïnformeerd. Waarom stonden na maanden dan nog de interne netwerken van honderden bedrijven open? Posthumus: ‘Organisaties zijn zelf verantwoordelijk voor het nemen van maatregelen. We hebben geen wettelijke bevoegdheid tot ingrijpen.’

Hier wringt de schoen. Het NCSC, verantwoordelijk voor digitale veiligheid, kan niet afdwingen dat bedrijven maatregelen nemen. Ook nu nog staan 140 systemen van een aantal grote bedrijven open. De Volkskrant ­publiceert om veiligheidsredenen de namen niet.

Ook wil het NCSC niet actief internet scannen om te zien welke organisaties überhaupt kwetsbaar zijn. De organisatie stelt dat dit niet binnen het mandaat valt of zelfs strafbaar is. Dus is het wachten op onderzoekers zoals Matthijs Koot die het wel doen. Koot: ‘Die verantwoordelijkheid kan niet liggen bij individuele onderzoekers of beveiligingsbedrijven. Maar kennelijk kan de verantwoordelijkheid vooralsnog óók niet liggen bij de private organisaties zelf. Die updaten immers niet.’ Over het bredere probleem en de onmacht van het NCSC zegt Koot: ‘Het is alsof je rijdt met een bus zonder remmen. Als de politie een controle zou doen, word je aan de kant gezet en mag je niet verder rijden. Met IT-infrastructuur rijden we vaak langere tijd door zonder remmen.’

‘Schokkend’

Hoogleraar Jacobs, tevens lid van de Cyber Security Raad, noemt het ‘schokkend’ dat organisaties voor de nationale veiligheid de VPN-update niet uitvoeren. Jacobs: ‘Omdat ze dat vanuit zichzelf niet doen en omdat er geen effectieve externe mechanismen zijn om ze daartoe te dwingen. Dit VPN-voorbeeld toont duidelijk aan dat de verantwoordelijkheid voor cybersecurity niet volledig aan individuele organisaties gelaten kan worden. Het gaat om grotere collectieve belangen.’

Luchtverkeersleiding Nederland gaat niet in op vragen waarom het niet gelukt is om de update van Pulse Secure uit te voeren. Een woordvoerder zegt dat de kwetsbaarheid ‘bij ons geruime tijd bekend’ is. ‘De bijbehorende risico’s zijn in kaart gebracht en er zijn passende maatregelen genomen.’ Waaruit die maatregelen bestaan, wil de woordvoerder niet toelichten. 

Wat was het probleem?

Het interne netwerk van grote bedrijven en overheidsorganisaties stond maandenlang open, waaronder dat van KLM, Shell, het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland.

Dat kwam door een ernstige kwetsbaarheid in de VPN-verbinding van Pulse Secure. Dit lek was in april gedicht maar honderden Nederlandse bedrijven hadden tot eind augustus de update niet uitgevoerd. Nog steeds staan 140 systemen open, waaronder van grote bedrijven.

Het NCSC, verantwoordelijk voor de digitale bescherming van vitale infrastructuur, zegt ‘actief’ gewaarschuwd te hebben maar greep niet in toen organisaties gevaar liepen. Na onderzoek van een beveiligingsexpert werden eind augustus systemen die aan de nationale veiligheid raken offline gehaald. 

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden