Wereldwijd neemt het aantal systemen dat wordt getroffen door een aanval met gijzelsoftware toe. Om dit te voorkomen, brengen fabrikanten van software updates en patches uit om de 'gaten' in de software te dichten. Volgens Ad Buckens, Vice President Consulting Expert Cybersecurity bij CGI Nederland, negeren veel organisaties deze updates. "Als er een patch is, installeer deze dan direct."
Dit artikel is eerder verschenen in het Vaktijdschrift Security Management
Begin dit jaar publiceerde de NOS op haar website het nieuwsbericht: ‘Grootschalige aanval metgijzelsoftware op duizenden servers wereldwijd’. Hierin meldt de NOS dat de Italiaanse cyberveiligheidsorganisatie ACN had geconstateerd dat duizenden computerservers werden getroffen door een aanval met gijzelsoftware die al sinds het najaar van 2020 bekend was.
Volgens het Nederlandse Nationaal Cyber Security Centrum (NCSC), dat in 2021 ook voor de ransomware waarschuwde, proberen criminelen een ruim twee jaar oude kwetsbaarheid in ESXi-software van het bedrijf VMware aan te vallen. Gijzelsoftware maakt gebruik van deze kwetsbaarheid waardoor criminelen willekeurige commando’s kunnen geven maar ook bestanden kunnen blokkeren. Pas wanneer het slachtoffer betaalt, kan de crimineel de bestanden weer vrijgeven.
Fout in broncode
Gijzelsoftware die gebruikmaakt van kwetsbaarheden in software is een groeiend probleem voor organisaties. Het kan verwoestende gevolgen hebben, zoals operationele processen die stil komen te liggen of het verlies of potentieel openbaar worden van vertrouwelijke informatie, zoals recent bij de KNVB gebeurde. De gijzelsoftware wordt geïnstalleerd door kwaadwillenden die gebruikmaken van uitgelekte inloggegevens, een phishingmail of een kwetsbaarheid in de software.
“Waar het op neerkomt, is dat een fout in de broncode van de genoemde bedrijfssoftware het mogelijk maakt dat iemand op een slimme manier ‘binnenkomt’, en vervolgens de systemen saboteert. Een ervan betrof een Remote Code Execution (RCE). Deze kwetsbaarheid (CVE-2021-21972) stelt een kwaadwillende in staat om een eigen code uit te voeren op het kwetsbare systeem. Hierbij probeert een kwaadwillende op afstand het kwetsbare systeem over te nemen door daar een bestand op te plaatsen dat het systeem compromitteert. Vervolgens kan hij de gijzelsoftware installeren”, licht Buckens toe.
Kwetsbaarheid van hypervisor
Ad Buckens wijst erop dat de kwetsbaarheden vaak al langer bekend zijn, zoals bij de ruim twee jaar oude kwetsbaarheid in ESXi-software van het bedrijf VMware, maar dat niet de benodigde stappen worden ondernomen om de ‘gaten’ te dichten.
“Ondanks de waarschuwingen van bijvoorbeeld het Nationaal Cyber Security Centrum laat de praktijk zien dat organisaties onvoldoende aandacht besteden aan het tijdig doorvoeren van de noodzakelijke patches en updates, waarmee het risico op een aanval toeneemt. De kwetsbaarheid bij VMware was al in 2021 bekend en er was ook een patch beschikbaar.” Buckens legt uit dat deze kwetsbaarheid zich toespitste op de hypervisors: “Een hypervisor is software die in staat is om een virtueel platform aan te bieden. Waar je vroeger vijf servers had, volstaat nu één zwaardere computer, waar de hypervisor naar behoefte virtuele servers maakt.”
Een kwetsbaarheid in de hypervisor maakt het mogelijk om van afstand de bestaande virtuele servers binnen te komen. Omdat de hypervisor meerdere systemen tegelijkertijd laat draaien, is het een interessant aanvalsobject. Voor de organisatie is het daarmee een omgeving die voldoende moet worden afgeschermd van de buitenwereld. Het ontsluiten van de ESXi-applicatie naar het internet brengt risico’s met zich mee en dat wordt heel duidelijk bij deze kwetsbaarheid.
Oud voordeurslot
Als een kwetsbaarheid wordt gevonden, hoeft het volgens Buckens niet altijd zo te zijn dat er direct een groot gevaar dreigt. “Ik maak wel eens de vergelijking met een deurslot. Als iemand constateert datje een oud voordeurslot hebt, dan is het nog steeds een deurslot. Pas als iemand een kwetsbaarheid vindt in dat slot en deze kwetsbaarheid bekend wordt bij personen die hier misbruik van willen en kunnen maken, heb je een probleem.”
CGI wijst haar klanten op de kwetsbaarheden die het bedrijf via eigen onderzoek of threat intelligence waarneemt. “Phishing is nog altijd een veel geziene methodiek om een systeem binnen te komen. Meer zorgen maken we ons over de toename van spear phishing waarbij een e-mail heel gericht wordt gestuurd. Denk daarbij aan directieleden of systeembeheerders die worden benaderd met als doel toegang te krijgen tot systemen, informatie of financiën.”
Waar phishing nog herkenbaar is aan de taalfouten of de knullige opmaak, besteden kwaadwillenden bij spear phishing veel meer aandacht aan het bericht om 'vertrouwd’ over te komen. “Waakzaamheid is hier ontzettend belangrijk.” Het grootste deel van zijn tijd besteedt Buckens aan het ondersteunen van klanten op het gebied van security. Hij onderschrijft daarbij het uitgangspunt van het dient proximity -model van CGI dat ervan uitgaat dat het ‘dicht op de klant zitten’ leidt tot de beste resultaten. “Onze focus ligt op het onderhouden van een intensieve en langdurige relatie met een selectieve groep klanten.” De medewerkers van CGI zijn actief op het gebied van Consulting, softwareontwikkeling en cybersecurity.
Compartimenteren
Buckens zou graag zien dat organisaties zich beter bewust zijn van mogelijke kwetsbaarheden van systemen die niet direct voor de hand liggen. “Nog regelmatig kom je systemen tegen die niet vanaf het internet toegankelijk zouden moeten zijn. Omgekeerd zie je soms systemen die in het interne netwerk worden geplaatst zonder compartimentering. Kwetsbaarheden in deze systemen zorgen voor een bruggenhoofd dat door een kwaadwillende kan worden gebruikt voor bijvoorbeeld een aanval met gijzelsoftware. Denk hierbij bijvoorbeeld niet alleen aan het HR-, plannings- of ERP-systeem, maar ook aan internet of things-systemen als zonnepanelen, beveiligingscamera’s of koffiezetautomaten. Wij adviseren organisaties onder andere over het juist compartimenteren van hun netwerk.”
Zero trust-model
Hierbij gaat CGI uit van zero trust. “Ga ervan uit dat je systemen gehackt worden en bedenk dan of de maatregelen die je genomen hebt, voldoende zijn om de informatie binnen je organisatie goed af te schermen.” Na het treffen van beveiligingsmaatregelen willen organisaties weten hoe goed ze het hebben gedaan. Dat kan door een externe partij (red team) een penetratietest (PEN-test) te laten uitvoeren. “Het is belangrijk om het blue team, de beheerders en beveiligers van het netwerk, actief bij deze tests te betrekken. Dan wel tijdens de test, dan wel bij de terugkoppeling van de resultaten. Voor zowel de organisatie als de individuele medewerkers zitten daar de cruciale leermomenten. Als CGi voeren wij dergelijke tests alleen uit voor grote organisaties en instellingen. Voor kleinere organisaties in het MKB zullen we altijd meedenken over geschikte en kwalitatief goede partijen die op dit vlak van dienst kunnen zijn.”
Jammer
Afsluitend wil Buckens nog kwijt dat het jammer is dat heel veel organisaties geen aandacht besteden aan de updates die beschikbaar zijn voor het verhelpen van kwetsbaarheden. “Het woord 'jammer’ is daarbij een enorm understatement, want de ellende is vaak niet te overzien voor organisaties als ze eenmaal zijn gehackt. Wat doe je als al je digitale gegevens zijn versleuteld door een aanval met gijzelsoftware? Ga je het gevraagde bedrag betalen of heb je een plan B? Het up-to-date blijven met patches biedt zeker geen 100 procent bescherming, maar het is wel een hele belangrijk eerste afweer tegen aanvallen van kwaadwillenden.”