VPN-beveiliging in 2025: oude lekken, nieuwe schade
Terwijl de cybersecuritywereld zich druk maakt over nieuwe zero-days, maken aanvallers nog altijd grootschalig misbruik van vijf jaar oude kwetsbaarheden in VPN’s. Uit nieuw onderzoek van ReliaQuest blijkt dat 64% van die VPN-lekken direct gelinkt is aan ransomware. Hoe is het mogelijk dat dit anno 2025 nog steeds gebeurt – en wat kunnen organisaties doen om zich echt te beschermen? De volgende bevindingen laten zien dat de VPN-beveiliging in 2025 nog altijd onder druk staat door verouderde kwetsbaarheden en dat deze tot de grootste risico's behoren.
Oude kwetsbaarheden blijven populair – bij aanvallers
Cybercriminelen denken strategisch. In plaats van constant op zoek te gaan naar de nieuwste kwetsbaarheden, richten ze zich vaak op bewezen lekken die nog steeds niet overal zijn gepatcht. Het recente rapport van ReliaQuest, specialist in AI-gedreven security operations, laat zien dat meer dan 50 bekende VPN-kwetsbaarheden nog altijd succesvol worden aangevallen – jaren nadat ze zijn ontdekt.
Opvallend is dat 64% van deze kwetsbaarheden direct gelinkt is aan ransomware-campagnes, waarbij aanvallers binnenkomen via het VPN-systeem, lateraal bewegen in het netwerk, data exfiltreren en vervolgens systemen versleutelen voor losgeld.
Deze dreiging blijft niet hypothetisch. Volgens het Coalition Cyber Threat Index 2025 begint maar liefst 58% van alle ransomware-aanvallen met het misbruik van perimeterapparatuur zoals VPN’s of firewalls. In veel gevallen worden verouderde CVE’s als toegangspoort gebruikt.
Waarom VPN-beveiliging in 2025 kwetsbaar blijft
VPN’s zijn essentieel voor veilige externe toegang. Ze worden massaal gebruikt door werknemers, externen en IT-beheerders. Maar juist door deze centrale rol vormen ze een aantrekkelijk doelwit. Zonder goede patching en segmentatie blijft VPN-beveiliging in 2025 een van de zwakste schakels in de IT-infrastructuur:
- Eenmaal binnen via het VPN, is de deur naar het hele netwerk open.
- Veel apparaten zijn jarenlang operationeel zonder updates.
- Credential-reuse maakt het makkelijker om een lek bij de ene partij te gebruiken voor toegang bij een andere.
Het rapport noemt toonaangevende merken als Fortinet, Ivanti, Cisco, SonicWall en Citrix als veelgebruikte, maar kwetsbare VPN-oplossingen. In veel gevallen ontbreekt basale beveiligingshygiëne: patches worden niet doorgevoerd, configuraties zijn onvolledig, en segmentatie ontbreekt.
Kwetsbaarheden zoals CVE‑2024‑8474 in deze systemen laten zien hoe één vergeten update kan leiden tot grootschalige compromittering.
Recent nog werden nieuwe kwetsbaarheden ontdekt in producten van Ivanti (CVE-2025-22457) en SonicWall SSL VPN’s, waarbij vermoedelijk een zero-day werd benut in ransomwarecampagnes. Ook clientsoftware zoals OpenVPN Connect bleek kwetsbaar voor exploits waarbij private keys van gebruikers op straat kunnen komen te liggen.
Twee ‘oude bekenden’ als topaanvalsvector
CVE-2018-13379 (Fortinet SSL VPN)
Deze kwetsbaarheid – ontdekt in 2018 – is een path traversal-lek in FortiGate SSL VPN’s. Aanvallers kunnen inloggegevens uitlezen zonder in te breken, puur via geautomatiseerde HTTP-requests. Het is een favoriet onder ransomwaregroepen.
Waarom het zo gevaarlijk is:
- Zeer eenvoudig te automatiseren
- Geen diepgaande kennis vereist
- Directe toegang tot gebruikers- en admincredentials
CVE-2022-40684 (Fortinet FortiOS & FortiProxy)
Een recentere kwetsbaarheid, maar net zo ernstig. Deze authenticatiebypass geeft aanvallers directe beheertoegang zonder wachtwoord of verificatie. Met een enkel verzoek kunnen zij volledige controle nemen over de VPN-apparatuur en zelfs beleidsregels aanpassen of schadelijke scripts uitvoeren.
Beide kwetsbaarheden hebben een EPSS-score van 97% – wat betekent dat ze bij de top 3% horen van lekken die waarschijnlijk binnenkort actief worden misbruikt. Dit laat zien dat VPN-beveiliging in 2025 niet alleen afhankelijk is van techniek, maar ook van discipline in beheer en patchbeleid.
Zie ook het volledige onderzoek van ReliaQuest over deze twee CVE’s, waarin wordt uitgelegd hoe aanvallers credentials en beheertoegang combineren.
Waarom detectie vaak te laat komt
Een veelgehoorde misvatting is dat monitoring voldoende bescherming biedt. Maar in het geval van VPN-aanvallen gaat dat niet op:
- VPN-verkeer lijkt vaak legitiem
-
Credential theft wordt pas opgemerkt als het te laat is
→ ReliaQuest laat in hun 2025 Annual Threat Report zien dat veel aanvallen binnen 24 uur na ontdekking van een lek plaatsvinden, waardoor reactietijd cruciaal is. - Zodra een aanvaller binnen is, is het lastig om laterale beweging te onderscheiden van normaal beheer
Daarom moet het antwoord niet alleen in technologie liggen, maar vooral in het goed inrichten van je netwerk en toegangsbeleid.
Volgens het nieuwste Zscaler ThreatLabz 2025 VPN Risk Report is 92% van de organisaties bezorgd dat VPN-lekken een open deur zijn voor ransomware. Meer dan 80% wil overstappen op een zero-trust model binnen het jaar – een duidelijke wake-up call dat VPN-beveiliging in 2025 drastisch moet evolueren om effectief te blijven en dat traditionele VPN-architecturen hun houdbaarheidsdatum naderen.
Wat kunnen organisaties concreet doen?
1. Netwerksegmentatie achter VPN-toegang
Maak gebruik van netwerkscheiding: zorg dat VPN-gebruikers niet direct toegang krijgen tot kritieke systemen, tenzij aanvullende verificatie is doorlopen.
2. Out-of-band authenticatie
Gebruik een MFA-oplossing die buiten het VPN om functioneert. Denk aan fysieke authenticators of externe apps die draaien op een andere infrastructuur.
3. IP-gebaseerde toegang + rotatie
Beperk toegang tot de VPN tot specifieke IP-ranges die regelmatig wisselen. Zo verstoor je geautomatiseerde mass-scans.
4. Regelmatige configuratie-audits
Controleer VPN-configuraties, gebruikersrollen en beleidsinstellingen op afwijkingen of veroudering.
5. API-bewaking
Monitor Fortinet-API’s en andere beheerinterfaces op verdachte acties, zoals het aanmaken van adminaccounts of beleidswijzigingen.
6. Update ook de VPN-clients
Kwetsbaarheden in clientsoftware zoals OpenVPN Connect maken het mogelijk om gebruikerssleutels buit te maken. Beveiliging stopt niet bij de serverzijde.
Het échte probleem is niet technisch, maar organisatorisch
Het blijft opvallend: organisaties investeren miljoenen in geavanceerde beveiligingstools, maar vergeten vaak hun ‘oude’ fundamenten te beveiligen. VPN’s zijn inmiddels zo ingeburgerd, dat het risico ervan wordt onderschat. De praktijk leert: aanvallers kiezen voor de weg van de minste weerstand – en dat zijn verwaarloosde, gepopulariseerde kwetsbaarheden.
Securityteams moeten dan ook niet alleen inzetten op het patchen van nieuwe lekken, maar ook op het doorlichten van wat al jaren draait. En dat begint bij bewustwording: security is geen eenmalige investering, maar een doorlopend proces. Het bewustzijn dat VPN-beveiliging in 2025 net zozeer een organisatorisch als technisch vraagstuk is, vormt daarbij de belangrijkste stap.
Ook Nederlandse IT-publicaties zoals Computable rapporteren dat VPN’s opnieuw onder vuur liggen – vooral in combinatie met RDP.
Conclusie: wie oud beveiligingswerk laat liggen, loopt nieuw risico
De aanvalspatronen veranderen, maar de zwakke plekken blijven vaak hetzelfde. VPN’s zijn in 2025 nog steeds een van de belangrijkste aanvalsoppervlakken – en juist omdat ze zo fundamenteel zijn, moeten ze ook fundamenteel beter worden beschermd en moet ervoor gezorgd worden dat de VPN-beveiliging in 2025 optimaal is.
Voor bedrijven die écht controle willen houden over hun digitale poorten, is het tijd om terug te gaan naar de basis. Niet alles hoeft cutting edge te zijn – maar verouderde kwetsbaarheden in bedrijfskritische systemen mogen geen open deur blijven.
Lees meer
