Australië: twintig procent kritieke lekken wordt binnen 48 uur misbruikt
Twintig procent van de kritieke kwetsbaarheden wordt binnen 48 uur na het verschijnen van een beveiligingsupdate of mitigatie misbruikt, zo stelt de Australische inlichtingendienst ASD in een nieuw verschenen dreigingsrapport (pdf). Toch ziet de dienst ook nog misbruik van zeven jaar oude kwetsbaarheden en ontvangt het periodiek meldingen over de WannaCry-malware, zes jaar nadat die verscheen.
Om te kijken hoe snel kwetsbaarheden na het verschijnen van een patch of mitigatie worden misbruikt keek de ASD naar zestig beveiligingslekken die tussen 1 juli 2020 en 28 februari van dit jaar verschenen. Eén op de vijf kwetsbaarheden werd binnen 48 uur misbruikt. Bij dertig procent van de beveiligingslekken vonden aanvallen binnen twee weken plaats en veertig procent werd een maand na het uitkomen van de patch of mitigatie misbruikt.
"Hoewel voor meer dan negentig procent van de kwetsbaarheden binnen twee weken na de bekendmaking een patch of mitigatie-advies beschikbaar was, werd vijftig procent van de beveiligingslekken meer dan twee weken na het verschijnen van de patch of mitigatie misbruikt. Dit laat het risico zien wat organisaties lopen als ze niet snel patchen", aldus de ASD. De inlichtingendienst adviseert kritieke kwetsbaarheden in systemen die vanaf internet toegankelijk zijn of waarvoor een exploit bestaat binnen 48 uur te patchen.
Tevens stelt de ASD dat kwetsbaarheden geen verloopdatum hebben. Zo zag de dienst hoe aanvallers succesvol misbruik wisten te maken van een zeven jaar oud beveiligingslek. Daarnaast ontvangt de Australische inlichtingendienst nog geregeld berichten over infecties door de WannaCry-malware, zes jaar nadat die voor het eerst verscheen. Dit komt vermoedelijk doordat oude legacy systemen op netwerken worden aangesloten. "Dergelijke incidenten laten het belang zien om zo snel mogelijk te patchen", aldus de dienst.
Als er een beveiligingslek in je software zit dan betekent dat dat de leverancier zijn werk niet helemaal goed heeft gedaan, alvorens de software in de winkel te leggen. Nu is software ("Hello World!") inmiddels ook weer vaak zo ingewikkeld geworden dat beveiligingslekken steeds moeilijker te voorkomen zijn. Ofwel de fabrikant weet zelf tot in de diepste laag niet meer waar hij mee bezig is.
Je hebt dus in het echie twee risico's. Dat er van een beveiligingsrisico in je software misbruik wordt gemaakt. Of dat je door een paniekpatch zelf je systeem platlegt. Omdat bijvoorbeeld de patch (ook al?) niet goed getest was. Of omdat je je software nèt even anders gebruikte dan de fabrikant had verwacht. Dan kan een snelle patch je systeem wel veilig maken vanwege de goede zorgen (en voorkomen van aanspakelijkheden) van de fabrikant. Maar dan kun je alsnog de soep in gaan.
Dan heb je dus een rollback mogelijkheid nodig. Maar soms is dat ook niet genoeg. Systemen zijn dynamisch er veranderen per interactie per seconde wijzer. Over dan zetten we toch effies de backup van gisteren terug kan veel te luchtig worden gedacht. Want tussen gisteren en nu kan er veel gebeurd zijn, en hoe herstel je dat dan weer. Hoe lang gaat dat duren?
Het kan nòg vervelender worden als je een patch eerst afzonderlijk test, alles lijkt op het eerste oog prima te werken. Maar een tijdje later niet helemaal. Alleen daar kom je pas twee weken later achter.
Wat in wezen onverantwoord en naïef is, is dat de Australische inlichtingendienst er blijkbaar vanuit gaat dat patches van fabrikanten foutloos zijn. Terwijl de bewuste fout juist door diezelfde fabrikant gemaakt is!
Met name voor vitale systemen kan zo een advies dus echt gevaarlijk zijn om maar blindelings op te volgen. Paniekpatchen is in wezen net zo gevaarlijk als een kwetsbaarheid hebben.
Nou mag iedereen daar meningen over hebben. Maar van een echte inlichtingendienst vind ik het een onverantwoord advies. Je had toch mogen verwachten dat die meer zouden weten. Maar goed, dat denk ik met softwarefabrikanten ook nog wel eens. Je koopt software om mee te werken. Niet om te patchen.
Als er een beveiligingslek in je software zit dan betekent dat dat de leverancier zijn werk niet helemaal goed heeft gedaan, alvorens de software in de winkel te leggen. Nu is software ("Hello World!") inmiddels ook weer vaak zo ingewikkeld geworden dat beveiligingslekken steeds moeilijker te voorkomen zijn. Ofwel de fabrikant weet zelf tot in de diepste laag niet meer waar hij mee bezig is.
Je hebt dus in het echie twee risico's. Dat er van een beveiligingsrisico in je software misbruik wordt gemaakt. Of dat je door een paniekpatch zelf je systeem platlegt. Omdat bijvoorbeeld de patch (ook al?) niet goed getest was. Of omdat je je software nèt even anders gebruikte dan de fabrikant had verwacht. Dan kan een snelle patch je systeem wel veilig maken vanwege de goede zorgen (en voorkomen van aanspakelijkheden) van de fabrikant. Maar dan kun je alsnog de soep in gaan.
...
Nou mag iedereen daar meningen over hebben. Maar van een echte inlichtingendienst vind ik het een onverantwoord advies. Je had toch mogen verwachten dat die meer zouden weten. Maar goed, dat denk ik met softwarefabrikanten ook nog wel eens. Je koopt software om mee te werken. Niet om te patchen.
Misschien moet je het rapport eerst zelf lezen. Het advies is genuanceerder dan zomaar altijd binnen 48 uur patchen.
"ASD acknowledges not all entities may be able to immediately patch, update or apply mitigations for vulnerabilities due to high-availability business requirements or system limitations. In such cases, entities should consider compensating controls like disabling unnecessary internet-facing services, strengthening access controls, enforcing network separation, and closely monitoring systems for anomalous activity. Entities should ensure decision makers understand the level of risk they hold and the potential consequences should their systems or data be compromised as a result of a malicious actor exploiting unmitigated vulnerabilities."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
