Populaire programma's moesten bedrijven beschermen, maar bleken een maas in de wet voor hackers

• 33 procent van de cyberaanvallen ter wereld begint met softwarefouten. 16 procent - afkomstig van gestolen inloggegevens. 13 procent afkomstig van phishing. Volgens het rapport "m-Trends 2025" heeft dit vectoreffect sinds vorig jaar aan belang ingeboet.
• De kwetsbaarheden die het vaakst werden uitgebuit, bevonden zich in systemen van Palo Alto Networks, Ivanti en Fortinet. Ze werden onder andere gebruikt door groepen die banden hadden met China en Rusland.
• In Polen waarschuwde de overheid voor de kwetsbaarheid van Fortinet. Er zijn echter geen plannen om een ​​zwarte lijst met gevaarlijke programma's aan te maken.

Eén op de drie cyberaanvallen begint met softwarefouten. Dat blijkt uit het nieuwste rapport van Mandiant, een bedrijf dat zich onder andere bezighoudt met het detecteren van bedreigingen op het netwerk. Criminelen hadden het vaakst software van de grootste Amerikaanse leveranciers op het oog: Palo Alto Networks, Ivanti en Fortinet.

Drie van de door Mandiant beschreven kwetsbaarheden waren bijzonder gevaarlijk: het waren 'zero day'- kwetsbaarheden. Dat wil zeggen kwetsbaarheden die werden uitgebuit voordat de softwareleverancier zich bewust was van de situatie en beveiligingspatches publiceerde. Dat is des te gevaarlijker omdat de aanslagen niet uitsluitend door gewone criminelen werden gepleegd. Sommige daarvan werden georganiseerd of gesteund door Chinese en Russische cyberinlichtingendiensten.

Gevaren van beveiligingsaanbieders

De kwetsbaarheid die vorig jaar het vaakst werd uitgebuit, betrof fouten in de software PAN-OS GlobalProtect. Dit is een populair beveiligingssysteem van Palo Alto Networks . Dit systeem wordt door bedrijven over de hele wereld gebruikt om de externe verbindingen van hun medewerkers te beveiligen.

De bug werd in april 2024 ontdekt en maakte het voor criminelen mogelijk om de controle over het apparaat over te nemen en willekeurige opdrachten uit te voeren, zonder medeweten van de beheerder. Volgens gegevens van Mandiant slaagden verschillende criminele organisaties erin om misbruik te maken van de kwetsbaarheid voordat deze werd ontdekt en gepatcht. Onder de hackers bevonden zich mensen die banden hebben met de RANSOMHUB-bende. Deze bende staat bekend om het afdwingen van losgeld en het dreigen met publicatie van gegevens.

Twee van de vier meest misbruikte kwetsbaarheden hebben betrekking op Ivanti-software: Connect Secure VPN en Policy Secure. Beide diensten worden gebruikt om medewerkers veilig te laten inloggen op het bedrijfsnetwerk . De door Mandiant beschreven kwetsbaarheden maakten het mogelijk om logins te omzeilen en opdrachten op de server uit te voeren.

Deze mazen in de wet waren ook bedoeld om criminelen te bevoordelen. In totaal zijn er minstens acht verschillende groepen geïdentificeerd die actief misbruik maken van bugs in de Ivanti-software . Vijf daarvan hadden betrekking op spionage en hadden mogelijk een link met China.

Poolse minister waarschuwt voor programmafout Fortinet

Er werd ook een ernstig beveiligingslek ontdekt in FortiClient Endpoint Management Server. Dit is een hulpmiddel dat door bedrijven wordt gebruikt om de beveiliging van de computers van werknemers centraal te beheren. Door de bug konden criminelen hun eigen commando's in de database van het systeem implementeren.

In de praktijk betekende dit dat men gegevens kon manipuleren, beveiligingsmaatregelen kon omzeilen en zelfs de controle over de server kon overnemen. Eén van de criminele organisaties installeerde een legaal programma voor beheer op afstand op de geïnfecteerde servers. Deze toegang werd vervolgens verkocht aan andere criminele organisaties. Mandiant bewees tevens dat de kwetsbaarheid werd uitgebuit door de FIN8 groep. Deze keer om in te breken in organisaties en hun gegevens te stelen om losgeld te verkrijgen.

In oktober en november 2024 kreeg het vermoedelijke FIN8-bedreigingscluster toegang tot een beoogde organisatie door misbruik te maken van CVE-2023-48788, implementeerde SNAKEBITE-ransomware en gebruikte de openbaar beschikbare RESTIC-back-uptool om gegevens te stelen.

De gevolmachtigde van de Poolse regering voor cyberveiligheid (in deze ambtsperiode is dat vicepremier Krzysztof Gawkowski) heeft zelfs een verklaring afgegeven over deze kwetsbaarheid . In maart 2024 adviseerde hij om Fortinet-producten bij te werken naar de nieuwste versies.

Hoe groot kan de omvang zijn van de problemen die deze kwetsbaarheid in Polen veroorzaakt? Dit is niet bekend omdat het ministerie van Digitale Zaken geen register bijhoudt van leveranciers en producten die IT-systemen beveiligen die noch bij de overheid, noch bij daarvan afhankelijke instellingen worden gebruikt.

- Overheidsinstanties hebben een grote mate van autonomie bij de selectie, aanschaf en toepassing van IT-beveiligingsoplossingen, zo verzekert de persdienst van het ministerie.

Ambtenaren bevestigen echter dat producten van leveranciers die in het Mandiant-rapport worden genoemd, ook in de openbare administratie worden gebruikt .

Ministerie wacht op belangrijke wetsvoorstellen over cyberveiligheid

Het Ministerie van Digitale Zaken verzekert echter dat er geen plannen zijn om leveranciers uit te sluiten waarvan de software kwetsbaar is voor aanvallen . In de toekomst wordt de veiligheid ervan beheerd door een wijziging van de Wet op het Nationaal Cybersecuritysysteem (het Ministerie van Digitale Zaken hoopt dat deze medio dit jaar door de regering wordt aangenomen) en door het Cybersecuritycertificeringssysteem. Dit laatste is reeds door de Raad van Ministers aangenomen.

- De ontwerpbepalingen inzake het beschermingsbevel of de procedure voor de erkenning als risicoleverancier kunnen in de toekomst worden toegepast indien de kwetsbaarheden een bedreiging vormen voor het fundamentele veiligheidsbelang van de staat, waaraan een gedetailleerde analyse voorafgaat - zo lezen we in de reacties van het MC.

Momenteel sturen Computer Incident Response Teams (CSIRT's) informatie over kwetsbaarheden naar de instellingen waar ze toezicht op houden. NASK gebruikt de Artemis-tool om te scannen op beveiligingskwetsbaarheden.

Leveranciers patchen, gebruikers updaten niet

Wat vinden softwareleveranciers zelf van het rapport? We hebben vragen gesteld aan alle drie de bedrijven die Mandiant noemt. Alleen Fortinet reageerde niet op vragen van CIS.

De woordvoerder van Ivanti benadrukt dat het niet alleen gewone criminelen zijn die tegenstanders van bedrijven zijn. - Agressieve, door staten gesponsorde aanvallen op edge-apparaten vormen een veelvoorkomende en goed gedocumenteerde uitdaging voor de hele sector, geeft hij toe.

Hij voegt eraan toe dat het bedrijf investeert in partnerschappen en samenwerkingen op het gebied van bedreigingsinformatie. Ook worden nauwkeurig omschreven correcties gepubliceerd.

Vertegenwoordigers van Palo Alto Networks spraken ook over oplossingen en benadrukten dat patches voor de specifieke kwetsbaarheid die in het Mandiant-rapport werd genoemd, binnen drie dagen na de bekendmaking van het probleem werden gepubliceerd.

- Informatie over ontdekte kwetsbaarheden in producten wordt door ons openbaar gemaakt en bijgewerkt door ons PSIRT-team, aldus de persafdeling van het bedrijf.

Zoals we hebben gehoord, voert het bedrijf ook softwaretests uit voordat deze op de markt komt.

- Zelfs in het geval van een incident kunnen we snel een eerder getest scenario analyseren, een oplossing ontwikkelen en deze implementeren in de getroffen producten - benadrukken vertegenwoordigers van Palo Alto Networks.

MC benadrukt dat het belangrijk is om de software zo snel mogelijk bij te werken na dergelijke berichten.

De Commissaris voor Cybersecurity geeft in zijn aanbevelingen en mededelingen duidelijk aan dat de belangrijkste maatregelen om het optreden van cyberbeveiligingsincidenten te beperken, het voortdurend updaten van de gebruikte oplossingen en het gebruik van multifactorauthenticatie zijn .

Volgens leveranciers zijn kwetsbaarheden in software vanzelfsprekend. Paweł Nogowicz, eigenaar van Evercom, ziet de zaak echter anders. Zoals hij benadrukte tijdens de discussie bij de EEG in Katowice , is dit een marktpathologie. Hij wees er simpelweg op dat klanten in feite softwaretesters worden. - Het kan niet zo zijn dat software voortdurend patches nodig heeft waardoor sommige kwetsbaarheden worden opgelost maar er nieuwe ontstaan, zei hij.