Eerder dit jaar heeft de 'grootste cyberaanval' ooit op de Deense vitale infrastructuur plaatsgevonden, waarbij 22 energiebedrijven via kwetsbaarheden in firewalls van fabrikant Zyxel werden gecompromitteerd. Dat stelt SektorCERT, het cybersecuritycentrum voor de Deense vitale sectoren. Het is een non-profitorganisatie die eigendom is van en gefinancierd wordt door Deense bedrijven binnen de vitale infrastructuur.
De eerste aanvallen vonden plaats op 11 mei van dit jaar, waarbij de aanvallers misbruik maakten van een kritieke kwetsbaarheid in Zyxel-firewalls, aangeduid als CVE-2023-28771. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand kwetsbare systemen overnemen. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Zyxel had op 25 april beveiligingsupdates voor het probleem uitgebracht.
Vanwege aanvallen die in andere landen waren waargenomen adviseerde SektorCERT vitale bedrijven om de kwetsbaarheid te patchen. Meerdere organisaties lieten dit echter na en konden daardoor op 11 mei worden gecompromitteerd. Elf energiebedrijven werden meteen gecompromitteerd. Bij vijf andere bleek de gebruikte exploit voor de één of andere reden niet te werken. Bij de aanvallen werden apparaatconfiguraties en gebruikersnamen en wachtwoorden gestolen. Volgens SektorCERT waren er geen andere gevolgen en waren alle netwerken dezelfde dag weer beveiligd.
Op 22 mei vond de tweede aanvalsgolf plaats, waarbij de aanvallers twee andere kwetsbaarheden in Zyxel-firewalls gebruikten (CVE-2023-33009 en CVE-2023-33010). Het ging hier om zerodays, aangezien erop het moment van de aanvallen nog geen beveiligingsupdates voor beschikbaar waren. Zyxel kwam op 24 mei met patches voor de aangevallen kwetsbaarheden. Via beide beveiligingslekken is het mogelijk om Zyxel-firewalls op afstand over te nemen en daarvandaan verdere aanvallen uit te voeren.
SektorCERT heeft een rapport over de aanvallen uitgebracht en stelt dat de eerste aanvalsgolf mogelijk was omdat bedrijven hadden nagelaten de updates te installeren (pdf). Sommige energiebedrijven dachten dat, omdat het een nieuwe firewall betrof, die de laatste software draaide. Andere bedrijven dachten dat hun leverancier de updates installeerde. Weer andere energiebedrijven hadden opzettelijk ervoor gekozen geen updates te laten installeren, aangezien hun it-leverancier voor de installatie kosten in rekening bracht. De updates zelf zijn gratis.
Weer andere energiebedrijven hadden geen idee dat ze de Zyxel-firewalls in hun netwerk hadden staan, omdat hun leverancier hen dit niet had verteld of dat er geen overzicht van de aanwezige netwerkapparatuur was. Hierdoor hadden de aanvallers weken de tijd om de bedrijven aan te vallen, ook al waren die opgeroepen om de updates te installeren, zo stelt SektorCERT.
"Denemarken heeft een sterk gedecentraliseerd energiesysteem met veel kleinere exploitanten. Vaak zal een aanval op één van deze operators dus niet maatschappelijk kritisch zijn. We maken ons al lange tijd zorgen over ‘systemische kwetsbaarheden’. Met andere woorden, een situatie waarin dezelfde kwetsbaarheid in veel bedrijven bestaat en dus een potentieel kritieke situatie voor de samenleving creëert als de kwetsbaarheid door alle bedrijven heen wordt uitgebuit", zegt Soren Maigaard-Tobiasen van SektorCERT. "Dat is precies wat we hier zagen gebeuren. En het is iets waar wij als samenleving ons waarschijnlijk meer op zouden moeten concentreren, omdat de gevolgen groot kunnen zijn."
Deze posting is gelocked. Reageren is niet meer mogelijk.