Dit is waarom oude kwetsbaarheden jaren later opeens een serieuze bedreiging kunnen vormen voor je netwerk en systemen
Veel securitykwetsbaarheden zijn ouder dan ...
Marc Ligthart
Gepubliceerd op 20-06-2022
Veel securitykwetsbaarheden zijn ouder dan vijf jaar, sommige zelfs ouder dan tien (!) jaar.
En de manier waarop veel bedrijven nu met dat soort ‘belegen’ bedreigingen omgaan, maakt hen een regelrechte prooi voor hackers. In dit artikel laten we je zien hoe dat zo is gekomen én wat je eraan kunt doen.
Even in het kort
En dan bedoelen we echt ultrakort: tien jaar oude kwetsbaarheden kunnen jouw organisatie anno nu heel hard raken. Dat komt omdat veel bedrijven updates niet uitvoeren.
Je zou nu kunnen stoppen met lezen en op hoge poten je IT-afdeling op stormen, maar lees eerst even mee. Dan wordt dat gesprek met je tech-toppers alleen maar makkelijker. 🙂
Want dit is hoe dat gaat
EternalBlue (MS17-010), een kwetsbaarheid uit 2017, is zo’n voorbeeld. Onze testers komen tijdens pentesten nog regelmatig computers tegen die hier nog kwetsbaar voor zijn. Door een backdoor te plaatsen maakt deze kwetsbaarheid het mogelijk om als niet-geautoriseerde gebruiker toegang te verkrijgen tot een Windows-computer. Dit gebeurt zonder tussenkomst van een medewerker en geeft direct de hoogst mogelijke rechten. Wij noemen dat een backdoor-aanval. Eén kwetsbare computer kan zo voldoende zijn om een heel netwerk over te nemen.
Maar ook Dirty COW – die sinds 2006 bestaat en pas in 2016 is ontdekt en misbruikt – is een gevaarlijke bug die het mogelijk maakt om systemen over te nemen op root-user-access, het hoogste beheer-account, dus. Deze kwetsbaarheid vormt een dreiging voor alle op Linux-gebaseerde systemen, inclusief Android, en bevindt zich op kernel-niveau.
Patches om je tegen deze kwetsbaarheden te beschermen, zijn al jaren beschikbaar voor organisaties. Maar omdat vele organisaties de updates niet uitvoeren blijven ze kwetsbaar voor deze cyberdreigingen, zoals het stelen van bedrijfsgevoelige informatie of het plaatsen van ransomware.
Maar waarom worden updates dan niet doorgevoerd?
Kort gezegd: focus en tijd! Wij zien dat organisaties updates als bron van cybercriminaliteit niet in het vizier hebben en dat IT-afdelingen (te) weinig tijd krijgen om de updates door te voeren. Organisaties zien ransomware als de hoofdbedreiging voor hun cybersecurity. Maar dat is “the endgame” van cybercriminelen die ransomware plaatsen. Hierdoor krijgen IT-afdelingen onvoldoende tijd en capaciteit om de updates door te voeren.
Om ransomware te kunnen plaatsen hebben cybercriminelen namelijk eerst toegang tot het netwerk nodig, dat gebeurt bijvoorbeeld via een phishingmail. Vervolgens gebruiken ze kwetsbaarheden in het netwerk die al veel eerder ontstaan zijn, zoals de genoemde EternalBlue en Dirty COW. En als de updates niet zijn doorgevoerd…
Die cybercriminelen kunnen echter niet de enige dreiging voor jouw organisatie zijn. Ook door buitenlandse staten gesteunde hack-groepen gebruiken vaak dezelfde kwetsbaarheden, omdat het ze gemakkelijk toegang geeft tot netwerken. Voor organisaties in een bepaalde branche of keten is beveiligen hiertegen dus een must.
Doe je dat niet, dan kan je securitybeleid eenvoudig gaan lijken op dweilen met de kraan open. Je bent simpelweg niet voldoende beschermd. Je mist controle. Terwijl jij ergens in je organisatie heus wel aan het monitoren bent, kunnen cybercriminelen gewoon fluitend naar je pot met goud fietsen. Dit is waarom wij altijd een absolute topprioriteit maken van het uitvoeren van updates.
Bekijk ook ons artikel zo bescherm je je organisatie tegen cyberdreigingen als de pleuris uitbreekt in de wereld – 12 stappen.
Hoe kan ik me beter beveiligen?
Gelukkig zijn er altijd slimme stappen te nemen, begin met de volgende vijf:
- Updaten
Controleer welke software en systemen er niet up-to-date zijn en zorg ervoor dat je deze allemaal direct gaat updaten. Dat zal in veel gevallen een flinke klus zijn, dat begrijpen we. Maar het zorgt er wel direct voor dat de cyberweerbaarheid wordt verhoogd en het aanvalsoppervlak wordt verkleind. - Inzicht
Zorg voor een volledig inzicht. Licht je technische setup door. Controleer welke systemen, knooppunten en technische componenten voor jouw organisatie bedrijfskritiek zijn. Maak een overzicht van alle software die in gebruik is en de componenten die gebruikt worden. Breng in kaart wat de patchstatus en de actuele stand van kwetsbaarheden is. Beoordeel vervolgens wat de gevolgen van het updaten zijn, om dit daarna in te plannen en door te voeren als die er niet zijn. Zijn er wel gevolgen, zoals het niet werken van software als een server wordt geüpdatet, bekijk dan of er mitigerende maatregelen genomen kunnen worden. Voor security- en risicomanagement is het algemene advies om de focus te leggen op kwetsbaarheden met bekende exploits, die actief misbruikt (kunnen) worden. Maak hier een continu proces van. Blijf alert. - Threat Intelligence
Breng exact in kaart tegen welke dreigingen jouw organisatie zich moet beveiligen en of er risico’s zijn die geaccepteerd kunnen of moeten worden. Begin bijvoorbeeld met jezelf de volgende vragen te stellen: in welke keten is jouw business actief? Wie heeft het op ons gemunt? Welke aanvalstechnieken gebruiken ze? Hoe zitten jouw afhankelijkheden ten opzichte van leveranciers en hoe zit het daar met de beveiliging? Wat verwachten klanten en andere stakeholders van je? - Urgentie
Creëer urgentie in je beleid hierop: zorg dat updates absolute prioriteit krijgen (niet voor niets stap 1😉). Maar houd ook in de gaten of je IT-afdeling of externe IT-partij hier voldoende tijd en mandaat voor heeft en of er voldoende kennis in huis is. Is dat niet het geval? Zoek dan een specialist die dit samen met je kan opzetten. - Testen
Toets je huidige risicobeeld door een pentest te laten uitvoeren. Na het doorlopen van de stappen hierboven is het goed om een onafhankelijke partij te benaderen om jouw risicobeeld in kaart te brengen (hint: je leest er as we speak een artikel van 😉). Een goeie cybersecurityspecialist kijkt vanuit de ogen van een cybercrimineel naar jouw business.
Hulp van een echte hacker nodig?
Wij doen niets liever dan kritisch met je meedenken en onze visie delen op jouw huidige situatie. Geen hoofdpijn meer over dure cyberdreigingen? Kan geregeld worden!
