Pentest bij DTC legt 'zero-day' kwetsbaarheid bloot
Het Digital Trust Center (DTC) helpt ondernemers met het verhogen van cyberweerbaarheid en heeft daartoe samen met het bedrijfsleven in 2018 de 5 basisprincipes van veilig digitaal ondernemen geïntroduceerd. Aan de hand van deze basisprincipes kunnen bedrijven hun digitale basisbeveiliging (laten) inrichten en zo hun cyberweerbaarheid vergroten. Hoewel het DTC als onderdeel van het ministerie van Economische Zaken en Klimaat moet voldoen aan veel overheidsbrede securityvereisten, volgt het zelf uiteraard ook de 5 basisprincipes.
Risicoanalyse
Net als voor ieder bedrijf, is het ook voor het DTC essentieel om te inventariseren waar de kwetsbaarheden kunnen liggen. Vanuit de risicoanalyse kun je bepalen welke stappen gezet moeten worden om de digitale beveiliging van je IT-landschap te verbeteren. Het DTC en het CSIRT-DSP hebben daarom onlangs een opdracht gegeven om de IT-systemen van hun notificatiedienstverlening te laten testen door een securitydienstverlener.
Pentest
Een pentest geeft je een goed beeld van de robuustheid, aandachtspunten en mogelijke kwetsbaarheden binnen van je systemen. De scope bepaalt de diepgang en verschillende aspecten die worden getoetst. Bij de selectieprocedure van een pentest maakt het DTC onder andere gebruik van het CCV-keurmerk Pentesten om te borgen dat een aanbieder kwalitatief goed werk levert.
Securitybedrijf Chapter8 legt ernstige kwetsbaarheid bloot
Bij een pentest die het DTC en CSIRT-DSP lieten uitvoeren op hun IT-systemen is door securitybedrijf Chapter8 een ernstige kwetsbaarheid ontdekt. In eerste instantie leverde de pentest niets op, van buitenaf was binnendringen niet mogelijk. Daarop heeft het DTC de pentesters toegang verschaft tot één van de systemen en gevraagd om alsnog te testen of er na toegang kwaadaardige handelingen mogelijk zijn. Dat bleek het geval te zijn. In webapplicatie Best Practical Request Tracker (RT) bleek het voor de pentester mogelijk om zich voor te doen als een RT-gebruiker en om specifieke e-mailbijlagen te downloaden. RT is een ticketsysteem applicatie die gebruikt wordt voor geautomatiseerde werkprocessen. De vondst in dit ticketsysteem was extra alarmerend omdat het een zogenoemde zero-day kwetsbaarheid betrof; een kwetsbaarheid die nog niet bekend was bij de leverancier van de webapplicatie. Veel securityteams, CERT's en CSIRT's maken gebruik van dit open source ticketsysteem voor het loggen, opvolgen en monitoren van gemelde cyberincidenten.
Coordinated Vulnerability Disclosure
Om ervoor te zorgen dat deze zwakke plek in dit belangrijke IT-systeem snel opgelost kon worden, is er contact opgenomen met het Nationaal Cyber Security Centrum (NCSC) door middel van de Coordinated Vulnerability Disclosure-procedure. Het NCSC heeft als intermediair contact gezocht met de leverancier van de webapplicatie om de problemen onder de aandacht te brengen. Er is vervolgens met alle betrokken partijen en de leverancier hard gewerkt om een beveiligingsupdate (patch) mogelijk te maken.
Beveiligingsupdates en notificaties
Vanaf 20 oktober zijn twee patches beschikbaar waarmee de kwetsbaarheden in dit ticketsysteem worden verholpen. Het team van cybersecurity-analisten van het DTC stuurde direct ook waarschuwingsberichten (notificaties) naar systeemeigenaren die gebruik maken de kwetsbare webapplicatie. Ook het CSIRT-DSP notificeerde enkele bij haar aangesloten digitale serviceproviders die gebruik maken van het kwetsbare ticketsysteem. In een notificatie wordt de situatie beschreven en de risico's geduid. Ook wordt in begrijpelijk taal toegelicht wat er moet gebeuren om het beveiligingslek te dichten en zo bedrijfsschade te voorkomen. Bekijk een voorbeeld van de notificaties die het DTC e-mailt naar het bedrijfsleven.
Test je IT-landschap na grote wijzigingen
"Periodiek een pentest uitvoeren is natuurlijk altijd goed. Maar als je meerdere wijzigingen hebt doorgevoerd in je IT-landschap, dan is testen nog belangrijker. Na een uitbreiding van de applicaties waar de notificatiedienstverlening gebruik van maakt, was het logisch om de opzet met de toegevoegde applicaties en koppelingen op robuustheid te laten testen. Dat je dan een nieuwe kwetsbaarheid in één van de applicaties vindt, is natuurlijk verrassend, maar toont wel aan hoe zinvol het is om je systemen te testen", vertelt een security operator van het DTC.
Omdat de pentester niet binnen kon komen, hebben we hem binnengelaten en gevraagd specifieke IT-systemen te testen. Kun je handelingen uitvoeren zonder dat je de rechten daartoe hebt? 'Ja', bleek het antwoord na diepgravend speurwerk.
Lessons learned van het DTC
- Test regelmatig, zeker als je IT-systemen aan verandering onderhevig zijn;
- Bepaal de scope van je test. Welke omgeving, apparaten of applicaties moeten getest worden? Welke testmethodes mogen gebruikt worden? Wat zijn cruciale systemen of processen die absoluut niet gehinderd mogen worden? Geef daarbij ook de gewenste diepgang van de tests aan;
- Maak effectief gebruik van de testtijd door de securityspecialisten op het spoor te zetten van mogelijk kwetsbare onderdelen of nieuwe functionaliteiten;
- Wees open over gevonden kwetsbaarheden. Je klanten of afnemers zullen waarderen dat je aan securitytesten de aandacht geeft die het verdient.
- Ga aan de slag of maak gebruik van een coordinated vulnerability disclosure-beleid.
Is jouw beveiliging op orde?
Zorg dat je cybercriminelen voor bent. Laat regelmatig de beveiliging van je onderneming testen.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?