https://www.volkskrant.nl/nieuws-achtergrond/nederlander-ontdekt-tijdens-hackwedstrijd-ernstig-lek-in-gangbare-netwerkopslag~b655526b/Een Nederlandse beveiligings-onderzoeker heeft een serieuze kwetsbaarheid ontdekt in de draadloze netwerkopslag die wereldwijd bij veel consumenten en bedrijven in gebruik is voor het bewaren van computerdata.
1 november 2024, 11:00
De onderzoeker, de 25-jarige Rick de Jager van beveiligingsbedrijf Midnight Blue, vond het lek tijdens de internationale hackwedstrijd Pwn20wn in Ierland. In minder dan twee uur slaagde hij erin eigen computercode te plaatsen op de draadloze opslagapparatuur: de zogeheten NAS (Netwerk Attached Storage). Hiermee had hij volledige toegang tot de bestanden op het apparaat.
De NAS was van het merk Synology, een grote Taiwanese producent. Ook in Nederland wordt de opslagapparatuur veel verkocht. Zelfs Synology-apparatuur die niet op internet is aangesloten, is via een Cloud-verbinding kwetsbaar en te benaderen. De onderzoeker ontvangt met zijn team bijna 100.000 dollar voor deze en andere gerapporteerde lekken.
Veelgebruikte software
Dat dit soort veelgebruikte hardware zo’n serieuze en triviale kwetsbaarheid bevat noemt De Jager ‘uitermate slordig’. Miljoenen consumenten en bedrijven gebruiken NAS-apparaten. Het gaat daarbij om MKB-bedrijven, consultancy- en advocatenkantoren en lokale en nationale overheden. Aanvallers kunnen het lek misbruiken om de data die op de opslagapparatuur staan, zoals foto’s, financiële administratie en ook kritieke bedrijfsgeheimen of back-ups, te stelen of deze te vergrendelen.
Voor statelijke hackers, die permanent naar dit soort gaten in veelgebruikte apparatuur zoeken, is de kwetsbaarheid een kans om een achterdeur in te bouwen en altijd een toegang tot een getroffen bedrijf te houden. Midnight Blue heeft het lek bij Synology gemeld en het bedrijf zegt een oplossing beschikbaar te hebben. Gebruikers wordt aangeraden zo snel mogelijk een update te installeren.
Online dreiging groot
Het laatste jaar hebben veiligheidsdiensten regelmatig gewaarschuwd voor aanvallen via zogeheten randapparaten in een netwerk, zoals VPN-servers en routers. De Nationaal Coördinator Terrorisme- en Veiligheid (NCTV) stelde deze week dat de online dreiging tegen Nederland ‘groot en divers’ is. Die komt voornamelijk van statelijke hackers uit Rusland en China en van criminele groeperingen.
‘Nieuwe manieren voor aanvallen zijn misbruik van edge devices (randapparaten, red.)’, schreef de NCTV. Die zijn ‘aantrekkelijk’ omdat monitoring en ontdekking van kwaadaardige software erop ‘zeer complex’ is. Een NAS die aan internet hangt of verbonden is met een cloudserver, is ook zo’n randapparaat.
Geslaagde hack
De Nederlandse student was onderdeel van een team van vier personen van Midnight Blue. Enkele maanden voor de wedstrijd kregen zij een lijst met diverse apparaten die meededen, vertelt Rick de Jager telefonisch vanuit Chili waar hij participeert in een volgende hackcompetitie. ‘Uit die lijst kies je er eentje, vaak niet de makkelijkste omdat anderen die waarschijnlijk pakken, waarmee je aan de slag gaat.’
Het Nederlandse team vond al snel een lek in de NAS maar bleek niet in staat er in de korte tijd die beschikbaar was een werkende exploit – software die gebruikmaakt van de kwetsbaarheid – voor te maken.
Daarop besluit De Jager het in de laatste nacht over een andere boeg te gooien. Hij voegt een stukje programmacode toe aan zijn NAS zodat hij inzicht krijgt in welke commando’s worden uitgevoerd op het onderliggende besturingssysteem. Terwijl hij door resultaten scrolt, klikt hij rond in de foto-applicatie.
Ongezien code injecteren
Tot zijn verbazing ziet hij dat enkele gebruikersdata die in een bericht op de achtergrond naar de applicatie gaan, terechtkomen in een commando op het onderliggende systeem. ‘Eerst dacht ik dat het een fout was.’ Hij probeert het nogmaals en ziet wederom hetzelfde patroon. Dat betekent dat als hij een zelfgekozen opdracht meestuurt in een aangepast bericht, dat ook zal worden uitgevoerd op het apparaat. En dat blijkt zo te zijn.
Sterker, de foto-applicatie heeft een inlogscherm waarvoor een wachtwoord nodig is, maar een klein onderdeel ervan kan worden aangesproken zonder ingelogd te zijn. De kwetsbaarheid bevindt zich hierin. De Jager: ‘Ik hoefde niet in te loggen. Dus zonder dat de gebruiker iets doorheeft, kan ik ongezien code injecteren en het apparaat overnemen.’
Om drie uur in de ochtend stuurt hij een werkbare exploit naar een teamgenoot die de volgende middag de demonstratie doet. ‘Ondanks reguleringen en toenemende aandacht voor cybersecurity blijven veel digitale randapparaten, zoals NASsen, routers, printers, vol met vaak gevaarlijke te gaten zitten. Dat maakt ze een makkelijke prooi voor criminele bendes en statelijke actoren’, zegt Jos Wetzels, oprichter van Midnight Blue.
Slachtoffer gijzelsoftware
De Autoriteit Persoonsgegevens berekende onlangs dat minimaal 178 bedrijven in Nederland in 2023 slachtoffer werden van een aanval met gijzelsoftware. Hoeveel bedrijven gehackt worden door vijandige regimes is niet bekend. Het Nederlandse digitale beveiligingsbedrijf Eye schat dat jaarlijks één op de vijf bedrijven te maken krijgt met een hack en dat één op de twintig bedrijven slachtoffer is zonder het zelf door te hebben.
Vaisha Bernard, chief hacker bij Eye, ziet dat criminele groeperingen steeds vaker in staat zijn serieuze kwetsbaarheden te vinden en te misbruiken in software: een methode die vroeger voorbehouden was aan statelijke hackers. Bernard: ‘Een zorgelijke ontwikkeling die vijf jaar geleden ondenkbaar was. Criminele hackers zijn in korte tijd technisch meer bekwaam geworden.’ Hij vermoedt dat in de helft van de incidenten kwetsbare software of hardware aan de buitenkant van een netwerk de oorzaak is van een hack.
Race tegen de klok
Na de ontdekking van zo’n serieuze kwetsbaarheid zijn miljoenen apparaten weerloos tegen aanvallers. Dan begint een race tegen de klok tussen de hackers en verdedigers, die snel een update proberen te installeren en dat soms handmatig moeten doen. Bernard ziet dat de tijd die aanvallers nodig hebben om na de aankondiging van een beveiligingsupdate door leveranciers een exploit te maken, steeds korter is geworden. ‘Vijf jaar geleden duurde dat nog een week. Tegenwoordig gaat het om een paar uur of een dag.’
Dat betekent dat bedrijven razendsnel moeten reageren als bijvoorbeeld Microsoft een update presenteert, voordat hackers hun systemen binnendringen. Zorgelijk daarbij is dat er volgens de NCTV in Nederland een tekort is aan cybersecuritydeskundigen. ‘Voor kwaadwillenden kan het interessant worden om te bezien bij welke organisaties de grootste tekorten bestaan – en daarmee mogelijk de zwakste verdediging.’