Het zoeken, vinden en misbruiken van kwetsbaarheden – ook wel vulnerabilities – is een belangrijk onderdeel van hacken. Tijdens een pentest komt het opsporen van vulnerabilities ruimschoots aan bod. Belangrijk, want nieuwe kwetsbaarheden ontstaan bijna dagelijks.
In dit artikel lichten we de vaakst misbruikte vulnerabilities van vorig jaar uit. Altijd handig om ze eens na te lopen.
Wat zijn vulnerabilities?
Het woord zegt het al: vulnerabilities zijn zwakke plekken. In dit geval in de digitale infrastructuur. Kwetsbaarheden zijn als het ware achterdeurtjes die hackers gebruiken om – soms heel eenvoudig – binnen te dringen.
Kwetsbaarheden ontstaan doorgaans door o.a. updates. Ontwikkelaars van bijvoorbeeld software blijven nieuwe features toevoegen. Met elke verandering in de software is er een kans dat er een kwetsbaarheid ontstaat.
Security patches tegen kwetsbaarheden
Ontwikkelaars zijn hier meestal van op de hoogte en brengen securitypatches uit. Maar: soms komen deze patches pas laat uit. Of: ontwikkelaars merken ontstane kwetsbaarheden pas op als hackers ze al actief aan het misbruiken zijn.
Het komt geregeld voor dat kwetsbaarheden te lang aanwezig blijven in de digitale infrastructuur. Vaak doordat updates worden uitgesteld, overgeslagen of vergeten. Het ontbreekt dan aan een patchbeleid. Het eerste advies is dus: zit bovenop die patches!
Het tweede advies? Vulnerability Management: dat is een nog effectievere aanpak.
Wat is Vulnerability Management?
Vulnerability Management – in het Nederlands kwetsbaarheidsbeheer – richt zich op het actief monitoren van kwetsbaarheden in de digitale infrastructuur. Een VM-tool geeft daarmee een realtime overzicht van actuele kwetsbaarheden, hun risico en een advies om ze op te lossen. Soms is dat het uitvoeren van een patch, maar het kan ook zijn dat er een workaround nodig is.
In plaats van patchen en hopen dat er daardoor geen kwetsbaarheden meer zijn, toont een VM-tool – of een pentest – aan of er nog kwetsbaarheden zijn. Doorgaans valt dat tegen: zelfs de besten zitten met een VM-interface vol meldingen aan het begin. Maar wie al die meldingen stap voor stap rustig oppakt, is uiteindelijk bijgebeend.
En: kan met een stuk meer zekerheid zeggen dat de organisatie minder kwetsbaar is.
Vaakst misbruikte vulnerabilities van vorig jaar
Jaarlijks ontstaan er ontelbaar veel kwetsbaarheden. De ene is spraakmakender dan de ander. Vaak bepaalt de schaal van impact of heel de wereld het over een vulnerability heeft. Hieronder de vaakst misbruikte kwetsbaarheden van vorig jaar (in onwillekeurige volgorde):
1. Microsoft Office kwetsbaarheid uit 2017
We starten meteen met een oude. Een Microsoft Office bug (CVE-2017-11882) die in 2017 al ontdekt was, werd in 2022 nog steeds actief misbruikt. Gezien Microsoft bekend staat om het uitbrengen van security updates op hun “Patch Tuesday” is dit een opvallende. Dat in 2022 een kwetsbaarheid nog zo vaak geëxploiteerd is, geeft aan hoeveel organisaties een patchachterstand hebben.
Wat konden/kunnen hackers met deze kwetsbaarheid? De bug maakt het mogelijk op afstand arbitraire code uit te voeren op het apparaat. Dit biedt hackers de kans controle te krijgen over het apparaat, om vervolgens data te stelen of malware te installeren.
2. Spring4Shell
Deze kwetsbaarheid (CVE-2022-22965) is vorig jaar ontdekt én meteen uitgebreid misbruikt. Hij zit in het Java-gebaseerde Spring framework. Ook deze kwetsbaarheid maakt remote code execution mogelijk. Aanvallers deden dit via data binding. Inmiddels is er een patch uitgebracht tegen deze vulnerability. Het is te hopen dat iedereen die heeft uitgevoerd.
3. Zimbra Collaboration Suite
Wie Zimbra Collaboration Suite gebruikt als e-mail platform mag even opletten. In 2022 zijn de vulnerabilities met de codes CVE-2022-27925, CVE-2022-41352 ontdekt én flink misbruikt. Verrassing: in dit geval hebben we ook te maken met remote code execution. Aanvallers zijn met deze kwetsbaarheden daarnaast in staat malafide bestanden te uploaden naar het kwetsbare systeem. Met een Directory Traversal Attack als gevolg.
Ook deze aanval is inmiddels gepatcht.
4. Google Chrome
Vorig jaar kreeg de veelgebruikte web browser Google Chrome te maken met een Zero Day kwetsbaarheid (CVE-2022-0609). Aanvallers hebben gretig gebruik gemaakt van deze vulnerability. De mogelijkheid tot remote code execution maakte de kwetsbaarheid aantrekkelijk. De hacker moest daarvoor overigens wel gebruikers zover krijgen naar een malafide website te gaan.
De kwetsbaarheid is gepatcht. Dus wie de laatste versie van Google Chrome gebruikt, loopt geen gevaar.
5.Log4Shell
Wie herinnert zich Log4Shell (CVE-2021-44228) niet? Deze Apache kwetsbaarheid is al ontdekt in 2021, maar was vorig jaar nog steeds actief misbruikt. Dat terwijl er inmiddels gewoon een patch voor is. Wat konden aanvallers met deze kwetsbaarheid? Wederom: remote code execution.
6. Zyxel
Er is een trend gaande in dit artikel: ook deze kwetsbaarheid (CVE-2022-30525) geeft aanvallers de kans controle te krijgen over een systeem dankzij remote code execution. Het stelen van data en het installeren van malware is daardoor allemaal mogelijk.
De vulnerability is ontdekt in 2022 en er is inmiddels ook al een patch voor beschikbaar. Gebruikers die deze patch hebben uitgevoerd, lopen dus geen risico meer.
7. F5 BIG-IP
Dit is een interessante, want F5 BIG-IP is een collectie aan hardware- en software die gericht is op toegankelijkheid, prestaties én beveiliging. Helaas had het te maken met een kwetsbaarheid (CVE-2022-1388) die – wederom – remote code execution mogelijk maakt. Dat geeft creatieve hackers een tal aan mogelijkheden.
Voor deze kwetsbaarheid is een patch beschikbaar gesteld.
8. Follina
Nog een remote code exection kwetsbaarheid: Follina (CVE-2022-30190). Deze kwetsbaarheid zit in het in de Microsoft Windows Support Diagnostic Tool. Hoe aanvallers de vulnerability exploiteren? Via een schadelijk Office-document. Alle besturingssystemen binnen Windows zijn kwetsbaar.
Er is een beveiligingspatch uitgebracht. Wie up-to-date is, loopt hierin dus geen risico meer.
Hackers zijn er snel bij
Aanvallers zijn altijd op zoek naar kwetsbaarheden waar nog geen patch voor is. Ze zitten er bovenop. Het meest veilige is om er zelf dus ook bovenop te zitten. Of dat nu is met Vulnerability Management, een regelmatige pentest, of nog beter: beiden.