Afgelopen weekeind werden over twee grote VPN-diensten gevaarlijke kwetsbaarheden gemeld. Het gaat om Pulse Secure en Fortigate.

De Volkskrant schreef zaterdag over een lek in Pulse Secure, een van de vier belangrijkste VPN-aanbieders wereldwijd met 20 duizend klanten waaronder rijksoverheid, beursgenoteerde bedrijven als Shell en Boskalis, maar bijvoorbeeld ook zorgverleners en de Luchtverkeersleiding.

Dit lek werd in maart aan Pulse Secure gemeld door Taiwanese onderzoekers, waarop het bedrijf in april een update uitbracht en al zijn klanten met klem adviseerde die zo snel mogelijk uit te voeren. Ook het Nederlandse Nationaal Cyber Security Center (NCSC) adviseerde toen de update over te nemen. Toch bleek eind augustus dat veel bedrijven de update nog niet hadden doorgevoerd. En ook op het moment van schrijven van de Volkskrant bleken nog veel bedrijven hun achterdeur wagenwijd openstaan.

Zondag volgde een uitzending van Radio Reporter waarin het programma bekendmaakte dat het in samenwerking met ESET ontdekte dat er een vergelijkbaar lek zit in Fortigate-VPN. Bij dit lek gaat het om bijna 900 bedrijven in Nederland.

Volgens het (NCSC) is het risico dat er misbruik wordt gemaakt van deze kwetsbaarheid hoog en zal de schade groot zijn als er daadwerkelijk misbruik van wordt gemaakt. Het gaat om opvallend veel ICT-bedrijven, zorginstellingen, onderwijsinstellingen en een beursgenoteerde onderneming. Ook in dit geval is er al maanden geleden (in mei) een update gedaan door de VPN-aanbieder, maar werd die update dus in veel gevallen niet uitgevoerd.