Hoe secure is een Pulse Secure VPN-verbinding in de zorg?
Virtual Private Network(VPN)-verbindingen gebruikt men ook in de zorg om op afstand in systemen te werken. Daarbij denk ik als oud-huisarts meteen aan werkende collega’s die van VPN-verbindingen gebruik maken om tijdens huisbezoeken met een tablet in te loggen op hun huisartsinformatiesysteem(HIS). Maar ook elders in de zorg gebruikt men VPN-verbindingen. Daarbij gebruikt men onder andere de VPN-software van Pulse Secure. Deze software is helaas voor de derde keer in ongeveer anderhalf jaar zeer negatief in het nieuws. In september 2019 bleken er wereldwijd zo’n 14.000 VPN-servers, waarvan 537 in Nederland, kwetsbaar voor hacken door een software-probleem. Op 12 april 2021 was er een wereldwijde storing bij het gebruik van Pulse Secure door een verlopen beveiligingscertificaat. Op 20 april 2021 kwam het bedrijf met de waarschuwing dat er een “zero day”- lek bestond. Via dat lek bleken aanvallen plaats te vinden door “ nation-state cyberattackers“, hacks namens/door staten.
Wat is VPN?
Een VPN-tunnel is een gecodeerde verbinding op het internet tussen een computer of mobiel apparaat en een extern netwerk. Die tunnel die verbindt een smartphone, laptop, computer of tablet met een ander netwerk waarin het IP-adres verborgen is en alle gegevens die men genereert tijdens het surfen op internet zijn gecodeerd. Daarbij is het van belang dat de software die een dergelijke verbinding mogelijk maakt foutloos werkt en geen veiligheidslekken heeft.
Probleem 1
De waarschuwing van het bedrijf en later door overheidsinstanties, in Nederland door het Nationale Cyber Security Center(NCSC) betreft een recent lek, genaamd CVE-2021-22893.
Hackers kunnen ermee op afstand de besturing overnemen door op beheerdersniveau toegang te verkrijgen tot de verbindingen. Het gaat daarbij om de Pulse Connect Secure servers die bedrijven gebruiken voor de VPN-verbindingen. Via overname van deze servers door hackers kunnen ook de Pulse Secure clients, dus de eindgebruikers(lees: zorgmedewerkers) in het geding komen.
Het bedrijf schrijft erover:
“A vulnerability was discovered under Pulse Connect Secure (PCS). This includes an authentication by-pass vulnerability that can allow an unauthenticated user to perform remote arbitrary file execution on the Pulse Connect Secure gateway. This vulnerability has a critical CVSS score and poses a significant risk to your deployment”.
Het Common Vulnerability Scoring System (CVSS) geeft dit lek qua gevaarlijkheid een score van 10 op een schaal van 10.
Probleem 2
Hele triest is dat Pulse Secure ook waarschuwt voor het hacken van Pulse Secure servers met gebruikmaking van lekken uit 2019 and 2020: Security Advisory SA44101 (CVE-2019-11510), Security Advisory SA44588 (CVE-2020-8243) and Security Advisory SA44601 (CVE-2020-8260). Dat zijn lekken waarvoor al vanaf begin 2020 software-updates voorhanden zijn. Blijkbaar bestaan er wereldwijd nog steeds flinke aantallen servers waarop beheerders die updates blijkbaar nog niet installeerden.
Nog geen patch
In tegenstelling tot het Pulse Secure-lek uit 2019 is er nu niet meteen een update beschikbaar die het lek dicht. Het bedrijf heeft gemeld dat men in mei 2021 met een dergelijke software-aanpassing komt. Tot die tijd kan de beheerder van de Pulse Connect Secure servers alleen mitigerende(verzachtende) maatregelen nemen. Ook dient de beheerder dagelijks de Pulse Connect Secure Integrity Assurance Tool te draaien om het apparaat te controleren op ongeautoriseerde aanpassingen.
Not so secure
Helaas moeten we constateren dat de Pulse Secure VPN-verbindingen toch niet zo veilig zijn als ze lijken. Wat nu gebeurt is eigenlijk een herhaling van wat in 2019 en 2020 gebeurde. Zeer problematisch is dat wereldwijd nogal wat beheerders van Pulse Secure servers zitten te slapen. Ondanks uitgebreide waarschuwingen in 2019 en 2020 blijken er toch nog aanvallen plaats te vinden op deze servers vanwege het niet installeren van software die de gaten van 2019 dichtte. Aangezien er voor het huidige lek nog geen software-update voorhanden is zal de kwetsbaarheid nog wel even voortduren met hacks als gevolg. Als beheerders net zo traag zijn als in 2019 en 2020 zullen de gevolgen van dit lek nog lang de gebruiker achtervolgen. De vraag is uiteraard of men niet om moet zien naar andere VPN-soft- en hardware.
W.J. Jongejan, 24 april 2021
Image by Sammy-Williams from Pixabay
Over lekken bij gebruik van “remote access” schreef ik eerder op 3 september 2019(Pulse Secure) en 14 januari 2020(Citrix)
Recente reacties