Nieuws

NCSC adviseert Nederlandse bedrijven om Exim-mailservers te patchen

vrijdag 12 juni 2020, 17:07 door Redactie, 10 reacties

In Nederland zijn nog grote aantallen kwetsbare Exim-mailservers en het is daarom belangrijk dat bedrijven hun systemen updaten, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. De mailservers bevatten een kwetsbaarheid waar actief misbruik van wordt gemaakt, aldus de overheidsinstantie.

Eerder waarschuwden ook de Amerikaanse geheime dienst NSA en het Canadese Centre for Cyber Security (CCCS) voor actief misbruik van een bekende kwetsbaarheid in Exim. Op 5 juni vorig jaar verscheen er een beveiligingsupdate voor een kritieke kwetsbaarheid in de populaire mailserversoftware waardoor een aanvaller op afstand commando's met rootrechten op de mailserver kan uitvoeren. Alleen het versturen van een speciaal geprepareerde e-mail is voldoende voor een aanvaller om software te installeren, data aan te passen en nieuwe accounts aan te maken.

Volgens de NSA maakt de Russische inlichtingendienst GRU sinds vorig jaar augustus misbruik van de kwetsbaarheid om mailservers te compromitteren. Begin juni kwam de Canadese overheid met een waarschuwing dat de kwetsbaarheid, aangeduid als CVE-2019-10149, nog altijd werd aangevallen.

Ook in Nederland lopen organisaties risico. "Er zijn in Nederland nog grote aantallen Exim-installaties in gebruik waarop de patch van vorig jaar nog niet is geïnstalleerd", zo laat het NCSC vandaag weten. "Misbruik van kwetsbare Exim-servers is ook in Nederland niet uit te sluiten." Bedrijven en organisaties worden dan ook geadviseerd om de beveiligingsupdate te installeren.

Celstraf voor man die inbrak op website en tegen betaling lek wilde verhelpen

Belgische privacytoezichthouder onderzoekt slimme camera's aan de kust

Reacties (10)

12-06-2020, 19:32 door Anoniem

Ze hoeven hun mail servers niet te updaten. Het voldoet om een goede jurist in te schakelen want hacken mag niet! Waarom zou je iets doen wat niet mag? Dat werkte ook bij TLS en het gaat ook werken met de Corona-App. Gewoon een duidelijke, goede wet maken en over dingen als updaten of bugs voorkomen hoef je je geen zorgen te maken.

Het is zo simpel.

12-06-2020, 21:25 door Anoniem

Boehoe je moet updaten, dat doen we nooit...
Je zoekt je gegevens maar op bij haveibeenpwnd ;)

12-06-2020, 22:48 door Briolet

het is daarom belangrijk dat bedrijven hun systemen updaten, zo adviseert het Nationaal Cyber Security Centrum (NCSC)

Klinkt leuk, maar hoe denkt het NCSC dit onder de aandacht van de doelgroep te krijgen? Deze mensen lezen de nieuwsberichten van het NCSC niet, want anders hadden ze vorig jaar al gezien dat er een patch was.

13-06-2020, 08:50 door Anoniem

Waarom al deze mensen niet berichten, via de berichten box van de overheid?
Hoe simpel kan het zijn?

13-06-2020, 11:44 door Anoniem

Door Anoniem: Ze hoeven hun mail servers niet te updaten. Het voldoet om een goede jurist in te schakelen want hacken mag niet! Waarom zou je iets doen wat niet mag? Dat werkte ook bij TLS en het gaat ook werken met de Corona-App. Gewoon een duidelijke, goede wet maken en over dingen als updaten of bugs voorkomen hoef je je geen zorgen te maken.

Het is zo simpel.

En zo dom.... Een wet maken om dingen te patchen? Of een wet om bugs te voorkomen? Blijkbaar doe jij heel erg weinig met IT. Teminste, dat zou ik uit je post halen.

Door Anoniem: Waarom al deze mensen niet berichten, via de berichten box van de overheid?
Hoe simpel kan het zijn?

Hoe wil je een (bedrijfs) server aan een persoon linken?
Blijkbaar toch niet zo simpel?

13-06-2020, 15:10 door Anoniem

Door Anoniem: En zo dom.... Een wet maken om dingen te patchen? Of een wet om bugs te voorkomen? Blijkbaar doe jij heel erg weinig met IT. Teminste, dat zou ik uit je post halen.

Nee, ik bedoel een wet in plaats van patchen en bugs zoeken. Net zoals Australië een wet heeft die wiskunde verbiedt.
Politici kunnen niet programmeren, maar ze kunnen wel wetten maken. Daar zijn ze goed in.

Anoniem 19:32

13-06-2020, 15:34 door [Account Verwijderd]

Door Anoniem: Gewoon een duidelijke, goede wet maken en over dingen als updaten of bugs voorkomen hoef je je geen zorgen te maken.

Die verplichting is al in algemene termen opgenomen in verschillende wetten, zoals bijvoorbeeld de AVG waar het gaat om persoonsgegevens. Ik ben niet met allemaal bekend, maar bijvoorbeeld de zorg heeft eigen wetten omtrent de beveiliging. Net zoals de vitale sectoren. Allemaal gebaseerd op het principe dat een organisatie zelf verantwoordelijk is en moet bepalen welke maatregelen (zoals tijdig patchen) nodig zijn.

Artikel 24.1 GDPR
Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. 2Those measures shall be reviewed and updated where necessary.

14-06-2020, 13:46 door Anoniem

Door Anoniem:

En zo dom.... Een wet maken om dingen te patchen? Of een wet om bugs te voorkomen? Blijkbaar doe jij heel erg weinig met IT. Teminste, dat zou ik uit je post halen.

Door Anoniem: Waarom al deze mensen niet berichten, via de berichten box van de overheid?
Hoe simpel kan het zijn?

Hoe wil je een (bedrijfs) server aan een persoon linken?
Blijkbaar toch niet zo simpel?

https://nl.wikipedia.org/wiki/Ironie

14-06-2020, 15:24 door Briolet

Door Anoniem:… Net zoals Australië een wet heeft die wiskunde verbiedt.
Politici kunnen niet programmeren, maar ze kunnen wel wetten maken. Daar zijn ze goed in.

Anoniem 19:32

?? Dan heeft Australië een probleem omdat het openbare leven dan ineenstort, net als de gebouwen waarvan de sterkte meestal wiskundig berekend wordt. (Of op zijn minst is er een aannemer die een rekensom van het aantal te bestellen bakstenen maakt) Zelfs de kassa's bij de supermarkt werken niet meer omdat die op de wiskundige bewerking "optellen" gebaseerd zijn.

14-06-2020, 21:08 door Anoniem

@15:24: Zie https://www.zdnet.com/article/the-laws-of-australia-will-trump-the-laws-of-mathematics-turnbull/
Malcolm Turnbull: "The laws of mathematics are very commendable, but the only law that applies in Australia is the law of Australia."

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer