Ethische hackers hebben tijdens het evenement Hack The Hague twee grote kwetsbaarheden gevonden in de ict-omgeving van de gemeente Den Haag. Het gaat om een beveiligingslek in een systeem van een externe leverancier. Dat is gekoppeld aan de gemeente-ict en wordt door het hele land door organisaties gebruikt. Ook konden hackers via een ingewikkelde weg door de gemeente-ict ‘iets op straat doen.’
Dat zegt chief information security officer (ciso)
Hij deelt wel mee dat de kwetsbaarheid in het systeem van de toeleverancier ‘nationale impact’ heeft en direct is gemeld bij de Informatiebeveiligingsdienst (IBD). Deze dienst vormt het computer emergency response team (cert) voor Nederlandse gemeenten en licht in samenspraak met het Nationaal Cyber Security Centrum (NCSC) kwetsbare gebruikers in.
Ook over de kwetsbaarheid in de gemeente-ict ‘die ingreep op de fysieke wereld’ – Schipper ontkomt niet aan een cryptische omschrijving – wil de ciso geen details prijsgeven. ‘Het komt erop neer dat de hackers op een heel ingewikkelde wijze ergens binnen konden komen en op straat iets konden doen.’
Tijdens Hack The Hague namen 206 ethische hackers de ict van de gemeente Den Haag onder vuur. Ze bekeken de ict van de gemeente zelf, de Azure-omgevingen en de systemen van toeleveranciers.
Er zijn 125 meldingen ingediend. Ongeveer tien procent van die meldingen heeft een hoogrisicoprofiel. Van een kwart van de meldingen is het risicoprofiel op ‘medium’ ingeschaald en de helft van de meldingen heeft een laagrisicoprofiel. De overige vijftien procent betreft meldingen die nauwelijks impact hebben, maar waarvan het wel verstandig is om ze op te lossen.
Dit jaar vond het evenement op afstand plaats. Normaal komen de hackers naar het gemeentehuis om daar in de centrale hal de systemen te beproeven.
De hackers waren afkomstig uit 22 landen, waaronder Irak, India en Oekraïne. Zij kregen via vpn en onder scherp toezicht toegang tot de gemeente-systemen. Het is nog niet bekend hoe het evenement er volgend jaar uit zal zien.
“Het gaat om een beveiligingslek in een systeem van een externe leverancier. Dat is gekoppeld aan de gemeente-ict en wordt door het hele land door organisaties gebruikt.” “Ze vonden kwetsbaarheden als onveilige toegang tot accounts, verouderde software, de mogelijkheid tot het injecteren van kwaadaardige codes in een website en een account dat volledig kon worden overgenomen.”
Goed dat het hackevent de lekken heeft gevonden, maar weer blijkt dat er ook een belangrijk lek bij derden is te vinden. Dus kijk altijd naar inbraakmogelijkheden via derden. Derde partijen met koppelingen naar veel organisatie zijn extra interessant voor hackers. Het meenemen van derden in de pentest is ook goed voor die derde partijen, omdat die via meerdere klanten getest kunnen worden.
Jaap,
Ik las het artikel gisteravond en moest het even laten bezinken, reden hiervoor was de ‘verjaringstermijn’ want ik heb mijn bedenkingen bij een hackevent hoewel 125 meldingen zo’n beetje de gemiddelde oogst is met de gebruikelijke constateringen. Nu heeft Den Haag de zaken beter op orde dan bijvoorbeeld een Hof van Twente maar de cryptische omschrijving dat de hackers op een heel ingewikkelde wijze ergens binnen konden komen als er een account volledig kan worden overgenomen is nogal bedenkelijk en ik zeg daarom cryptisch dat de (installatie) handleiding lezen nog weleens nuttig kan zijn.
Ja, Ewout Read The Bloody Manual geldt nog steeds. En ook dan kan je nog niet alles weten als je onvoldoende tijd hebt voor online waarschuwingen, et cetera. Het vervelende is dat vandaag te lezen is dat het Nationaal Cyber Security Center blijkbaar nog geen 5 % van de ontvangen nuttige informatie mag delen met het “niet-vitale bedrijfsleven” wegens de beperkingen van de Wet beveiliging netwerk- en informatiesystemen.
Jaap,
Ik wijs even op de handleiding in verband met ‘Local Privilege Escalation’ door gebruik te maken van embedded (service) accounts, het injecteren van kwaadaardige code in een website kan tenslotte ook gedaan worden in allerlei devices als ze een interne webserver draaien wat met de toenemende lights-off operations in combinatie met IoT een groeiend aanvalsvlak wordt.