Een platform dat overheidsinstanties in de Verenigde Staten gebruiken voor het uitzetten van aanbestedingen bevat een kritieke kwetsbaarheid waardoor aanvallers op afstand de software en aanwezige gegevens kunnen compromitteren. De leverancier werd op 12 februari 2022 ingelicht, maar heeft meer dan drie jaar later nog altijd geen actie ondernomen, zo meldt het Dutch Institute for Vulnerability Disclosure (DIVD). De organisatie heeft nu besloten om een 'officiële productwaarschuwing' te geven.

De drie kwetsbaarheden bevinden zich in BASEC van leverancier SicommNet. Overheidsinstellingen in de VS kunnen er gebruik van maken voor het uitzetten van aanbevelingen. De software bevat een kritiek SQL Injection-lek waardoor een ongeauthenticeerde aanvaller op afstand als administrator kan inloggen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.3.

Daarnaast bevat de software ook twee andere, lager ingeschaalde kwetsbaarheden, namelijk het onveilig opslaan van wachtwoorden en XSS-injectie op de inlogpagina. "Met deze kwetsbaarheden kan een aanvaller alle beveiligingsmaatregelen omzeilen en volledige toegang krijgen tot het systeem en alle opgeslagen data. Het is zeer onwaarschijnlijk dat deze kwetsbaarheid nog niet misbruikt is", aldus het DIVD in een persbericht.

De organisatie zegt dat het de afgelopen drie jaar meerdere keren heeft geprobeerd om de leverancier te bereiken, via e-mail, LinkedIn en voicemail, maar zonder enige reactie. Vervolgens werd geprobeerd om via het Amerikaanse cyberagentschap CISA de bugmelding door te zetten, maar ook dat had geen resultaat. "Na zo'n lange periode zonder enig teken van leven, zien we geen andere optie dan de kwetsbaarheden openbaar te maken en een officiële productwaarschuwing uit te brengen", aldus het DIVD. Overheidsinstanties worden door de organisatie aangeraden geen gebruik meer van de software te maken en ervan uit te gaan dat hun installatie en data is gecompromitteerd.