Nog steeds kwetsbaar door software

‘Gemiste kans’

“Ondanks rappels [waarschuwende herinneringen - red.] hebben de volgende geadresseerde partijen geen reactie op de aan hen gerichte aanbevelingen gestuurd: de Eurocommissaris voor Interne Markt en de Eurocommissaris voor 'een Europa dat klaar is voor het digitale tijdperk', Vereniging Nederlandse Gemeenten, Land- en Tuinbouworganisatie LTO Nederland, Interprovinciaal Overleg; en softwarefabrikanten Ivanti, Fortinet, F5 en Palo Alto”, schrijft de OVV in zijn opvolgingsnotitie van het 2021-rapport.

“Dat de partijen niet gereageerd hebben is een gemiste kans om te laten zien wat ze doen om digitale veiligheid te verbeteren.” De openbare notitie bevat een algemene conclusie over de opvolging van aanbevelingen, met daarna een samenvatting van de ontvangen reactie per aanbeveling en een conclusie over de opvolging ervan. De OVV heeft AG Connect uitleg gegeven hoe het contact met aangeschreven leveranciers is verlopen.

Contactpogingen

Dit in antwoord op vragen over Nederlandse vestigingen die mogelijk slechts uitvoerende bedrijfsonderdelen zijn, versus Amerikaanse hoofdkantoren waar juist beleid bepaald kan worden. "De Onderzoeksraad heeft bij de start van het onderzoek in eerste instantie de hoofdkantoren van de bedrijven aangeschreven. Gedurende het onderzoek is ook contact gezocht met de kantoren in Nederland of Europa. Toen dat contact niet tot stand kwam, is met de hoofdkantoren in de VS het verdere contact onderhouden.”

“Op het bedrijf Palo Alto na is uiteindelijk met iedere softwarefabrikant contact geweest via het Amerikaanse hoofdkantoor. Echter, na het toezenden van het definitieve rapport met de aanbevelingen en een rappel, heeft de Onderzoeksraad alleen van Citrix en de Business Software Alliance (BSA) reactie gekregen op de aanbevelingen. Van de andere in het rapport genoemde softwarefabrikanten heeft de Onderzoeksraad geen reacties meer ontvangen.” AG Connect heeft zelf contactpogingen ondernomen, met wisselend resultaat.

Zo stelt de Nederlandse tak van een ICT-leverancier dat ze geen weet hebben van een contactpoging door de OVV. Van een bron bij een andere ICT-leverancier kwam de reactie dat daar - mede door overnames - nogal wat wisselingen van de wacht zijn geweest. Mogelijk verklaart dit het uitblijven van reacties op de OVV-aanbevelingen. Aan de andere kant kan dit ook een signaal zijn hoe serieus er naar security en de Nederlandse adviezen wordt gekeken.

Verplichtingen

Leverancier F5 Networks gaf AG Connect een vrij uitgebreide reactie. Het Amerikaanse bedrijf zegt zich te herkennen in de bevindingen en standpunten van de OVV. “Softwareleveranciers dienen veilige software te leveren, eventuele onvolkomenheden of kwetsbaarheden tijdig te detecteren én die op eenvoudige wijze te verhelpen. Gezien onze rol in cruciale infrastructuren wereldwijd kennen wij de verplichtingen die dat met zich meebrengt.”

“F5 heeft hierin een dubbele functie: we maken onze eigen software maar worden ook volop ingezet om juist te beschermen tegen kwetsbaarheden in de software van anderen. Het proces rond het signaleren, melden en oplossen van de zogeheten Common Vulnerabilities and Exposures (CVE) is bij F5 continu aan verbetering onderhevig, maar met name de laatste jaren zijn daar flinke stappen in gezet.”

“Dit heeft er onder andere toe geleid dat kwetsbaarheden in onze eigen software gekwalificeerd worden naar risico en gemeld worden met gelijktijdig een oplossing. Die combinatie zien we niet bij iedere softwareleverancier terug; F5 gelooft in de aanpak dat een openbaar gemaakte kwetsbaarheid direct opgelost moet kunnen worden.”

Binnen een week

In het geval van F5 heeft de OVV concreet gekeken naar de kwetsbaarheid die in de zomer van 2020 naar buiten kwam, en die snél is misbruikt. “Binnen een week van kwetsbaarheid tot cyberwapen”, schreef de OVV daarover in het rapport van eind 2021. “In de zomer van 2020 werd bekend dat de BIG-IP-software van het bedrijf F5 een kwetsbaarheid bevatte. Dit product heeft een vergelijkbare functie als de eerder beschreven Citrix-software.”

“Bij servers waar de beheerdersinterface met internet was verbonden, konden aanvallers zonder autorisatie willekeurig kwaadaardige code op de server uitvoeren en daarmee binnendringen in het digitale systeem achter deze module.” Deze kwetsbaarheid was zo ernstig dat het een score 10 kreeg op een schaal van 1 tot 10. Bruikbare exploitcode is slechts vijf dagen na bekendmaking van de kwetsbaarheid opgedoken. “Deze methode was zo eenvoudig dat de benodigde code in een tweet paste. Twee dagen later werden organisaties die BIG-IP gebruikten wereldwijd aangevallen”, schreef de OVV.

Verantwoordelijkheden

Terwijl F5 tegenover AG Connect spreekt van herkenning, komt het bedrijf ook met een nuancering over verantwoordelijkheid. “Indien software als een dienst wordt afgenomen, is de leverancier in grotere mate verantwoordelijk voor het onderhouden van de software en de veilige werking ervan. Indien de klant zelf de software beheert en aan eindklanten (intern of extern) aanbiedt, draagt men zelf een grotere verantwoordelijkheid met betrekking tot de veiligheid.”

Een praktisch punt dat F5 hierbij nog aanhaalt, is het feit dat “steeds meer organisaties zelf hun eigen software ontwikkelen” met eigen ontwikkelteams. “Hier is de organisatie uiteraard grotendeels zelf verantwoordelijk voor het proces en de beveiliging.” Deze algemeen geldende verklaring staat op gespannen voet met de verantwoordelijkheid van derde partijen, die bijvoorbeeld componenten leveren. Supplychain-aanvallen springen in op deze relatief nieuwe zwakke plekken.

Rol leveranciers en overheid

De OVV adviseert dan ook betere samenwerking tussen softwareleveranciers. F5 erkent dat daar zeker nog veel valt te winnen, maar lijkt minder optimistisch dan de raad. “De stelling dat de eerste resultaten in 2026 merkbaar kunnen zijn, is lastig te staven. Alle neuzen dezelfde kant op krijgen en snel resultaat halen is vaak complex. F5 is altijd gericht op samenwerking en bereid geweest samen te werken.”

Daarnaast reageert het bedrijf dat organisaties zélf verantwoordelijk zijn en blijven voor hun IT-security. “De verantwoordelijkheid hiervoor alleen bij leveranciers leggen is te kort door de bocht.” Goede beveiliging van applicaties kan helpen om kwetsbaarheden af te schermen, maar dat blijkt in de praktijk lang niet altijd te worden gedaan. F5 ziet daar ook een overheidstaak: “Hierbij is ook handhaving van regelgeving van belang. Zo zijn bijvoorbeeld Nederlandse gemeenten verplicht een WAF (web application firewall)  te gebruiken, maar is dit in de praktijk nog lang niet overal het geval. Hier wordt dus bewust een risico genomen.”

Misconfiguraties

F5 haalt in de aan AG Connect gegeven reactie op de OVV-aanbevelingen nog het probleem van misconfiguraties aan, waar veel cyberaanvallers dankbaar misbruik van maken. De grote kwetsbaarheid in BIG-IP viel te bereiken doordat de beheerdersinterface ‘open stond’ naar het grote internet toe. “Uit onderzoek blijkt dat veel misconfiguratie voortkomt uit gebrek aan middelen, zoals tijd en kennis”, stelt F5. Kennisgebrek wordt volgens het bedrijf versterkt door de complexiteit die ontstaat als er niet gestandaardiseerd wordt gewerkt voor de ontwikkeling en ondersteuning van applicaties.

De omarming van publieke clouds zou het probleem van IT-diversiteit voor organisaties nog eens vergroten. “Er gelden immers geen standaarden”, aldus F5. “De meeste publieke clouds bieden gelijkaardige functies, echter op genuanceerde wijze.” De securityleverancier adviseert om te standaardiseren over verscheidene locaties heen.

Regelgeving

“Gebruik uniforme technologie in het datacenter, in de cloud, aan de rand van het netwerk (edge) voor het beveiligen en ondersteunen van applicaties. Dit stelt organisaties in staat sneller te kunnen handelen bij risico’s, beter inzicht te hebben in de staat van de omgeving en beter te voldoen aan regelgeving van overheden.” Wat laatstgenoemde betreft, komt er een lawine aan EU-cyberregels af op techgebruikende organisaties en bedrijven.