Beheer

Security
Man achter een computer, met daarop een melding dat hij gehackt is

Minstens 35% van inbraakpogingen gericht op oude gaten

Zelfs kritiek EternalBlue-gat uit 2017 nog gebruikt bij aanvallen.

27 december 2022

Zelfs kritiek EternalBlue-gat uit 2017 nog gebruikt bij aanvallen.

Cybercriminelen en beveiligingsonderzoekers vinden dagelijks diverse nieuwe kwetsbaarheden. Maar aanvallers zijn voor inbraken niet van nieuwe ontdekkingen afhankelijk. Ze maken nog volop gebruik van niet gedichte, jaren oude gaten. Dat blijkt uit cijfers die beveiligingsbedrijf ESET Nederland desgevraagd met AG Connect deelde. “De geschiedenis laat zien dat de meeste inbraken plaatsvinden door het misbruiken van kwetsbaarheden waar al reeds een patch voor beschikbaar is”, zegt Dave Maasland, directeur van ESET Nederland.

Het is december 2021 als er plots paniek ontstaat in de IT-wereld: in loggingtool Log4j wordt een beveiligingsgat gevonden, met potentieel grote gevolgen. Via de kritieke kwetsbaarheid – ook wel Log4Shell genoemd – kunnen aanvallers op afstand en zonder authenticatie eigen code uitvoeren. Veel leveranciers van commerciële websoftware en enterprise-applicaties maken gebruik van de tool, wat betekent dat enorm veel partijen kwetsbaar zijn door het gat.

Al snel volgt een reeks van patches, waarmee de problemen verholpen zijn. Tenminste, als die patches ook daadwerkelijk geïnstalleerd worden. Maar dat blijkt lang niet altijd het geval. Onlangs werd bijvoorbeeld bekend dat Iraanse criminelen begin dit jaar via Log4Shell konden binnendringen in het netwerk van een Amerikaanse overheidsorganisatie, ook al waren de patches toen allang beschikbaar. En ook nu wordt nog volop geprofiteerd van niet gepatchte Log4j-installaties.

Volgens ESET Nederland worden alleen al in Nederland nog dagelijks tienduizenden Log4j-exploitatiepogingen gedaan, wat op zijn minst suggereert dat het gat nog niet overal gedicht is (hoe vaak dergelijke inbraakpogingen slagen, vermeld ESET niet). In heel 2022 werden in Nederland miljoenen pogingen gedetecteerd. Wereldwijd is het zelfs de tweede meest gebruikte aanvalsmethode: 13% van alle externe inbraakpogingen op netwerken in het tweede halfjaar van 2022 verliep via Log4j. De enige aanvalsmethode die in 2022 vaker werd ingezet, is proberen wachtwoorden te raden. “Hoewel er een patch beschikbaar is, lijkt het alsof Log4j voorlopig niet weggaat”, aldus ESET in zijn halfjaarlijkse Threat Report.

Zelfs WannaCry-gat nog niet altijd gedicht

Helaas is de situatie met Log4j geen uitzondering. Zelfs gaten die nog veel ouder zijn, blijken nog lang niet overal gedicht en blijven dus een geliefde aanvalsroute van criminelen. Zo detecteert ESET Nederland dagelijks in Nederland nog honderden pogingen om een gat uit 2019 in de VPN-dienst Pulse Secure te misbruiken. Misbruik van dat gat is relatief eenvoudig: de instructies staan gewoon op het internet. En de gevolgen kunnen enorm zijn. “In het ergste geval kun je overal bij”, aldus Dave Maasland, directeur van ESET Nederland.

Zelfs EternalBlue – het gat in Microsoft’s SMB-protocol dat de NSA creëerde voor opsporingsdoeleinden, maar dat in 2017 door het Shadow Brokers-collectief werd gelekt op het internet – wordt nog steeds misbruikt. Dat gat werd vooral bekend nadat het misbruikt werd voor de WannaCry-ransomware-aanvallen in 2017, waarbij zo’n 200.000 Windows-computers in zo’n 150 landen werden geïnfecteerd.

Een patch was ten tijde van de WannaCry-aanvallen al beschikbaar, maar die blijkt zelfs nu, ruim vijf jaar later, dus nog altijd niet overal geïnstalleerd te zijn. Zo’n 1% van alle externe inbraakpogingen op netwerken wereldwijd verliep in het tweede halfjaar van 2022 nog via EternalBlue.

En ook andere oudere gaten worden nog veel misbruikt. Zo was het gat in Apache Struts2 (uit 2017) verantwoordelijk voor 8% van alle externe inbraakpogingen op netwerken, een gat in MS IIS uit 2015 voor 3% en het Bluekeep-gat uit 2091 voor 1%. “Dit betekent dat deze kwetsbaarheden door organisaties nog lang niet altijd gepatcht zijn en er nog veel organisaties kwetsbaar zijn voor misbruik van deze (oudere) kwetsbaarheden”, aldus Maasland.

Klik om te vergroten. Bron: ESET

Waarom wordt er niet gepatcht?

Zonde, want bedrijven kunnen dus gemakkelijk voorkomen dat ze slachtoffer worden van aanvallen via dergelijke routes. Wie patches tijdig installeert, voorkomt een hoop problemen. Dat feit is organisaties ongetwijfeld niet ontgaan, maar toch loopt het patchbeleid nog regelmatig (fors) achter. Dat geldt onder meer voor het relatief recente gat Log4Shell. “Veel organisaties zijn nog bezig met asset management – kortom: in kaart brengen wat ze eigenlijk hebben”, verklaart Maasland. “Dat betekent dat veel organisaties nog lang niet altijd inzichtelijk hebben waar Log4j precies in zit. Het is echt digitaal asbest waar nog veel digitale muren voor moeten worden opengebroken.”

En dat is slechts één van de redenen dat patches lang niet altijd geïnstalleerd worden. Ook de snelheid en enorme hoeveelheid gaten speelt een rol, stelden experts eerder al tegenover AG Connect. “Er worden per jaar zo’n 25.000 security advisories gepubliceerd. Zeker bij grote organisaties krijg je dus per dag met tientallen of zelfs honderden patches te maken. Dat kan een IT-organisatie niet aan”, legde cybersecurity-professor Michel van Eeten van de Technische Universiteit Delft bijvoorbeeld uit.

Daar komt bij dat het updaten van enterprise-systemen veel tijd kan kosten, waardoor het uitgesteld wordt. En ook de impact van een gevonden gat wordt niet altijd overzien. Maasland: “De impact is echter groter dan ooit. Statelijke actoren zijn soms al binnen een paar uur in staat om een kwetsbaarheid te misbruiken.”

Prioriteer cybersecurity

Het advies van experts bij nieuw gevonden gaten blijft dan ook eenvoudig: patch zo snel mogelijk. Daarnaast moet security meer centraal gaan staan in de infrastructuur, adviseerde Petra Oldengarm, directeur van brancheorganisatie Cyberveilig Nederland, begin dit jaar. "Dus denk bij een nieuw stuk infrastructuur direct na over de risico’s en hoe je gaat updaten. Gebruik dat soort dingen als criterium voor de selectie van je producten en diensten."

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.