De FBI, NSA en andere internationale cyberveiligheidsautoriteiten hebben een lijst vrijgegeven met de recent meest misbruikte softwarekwetsbaarheden. Citrix, Cisco en Fortinet voeren die rangorde aan. Ook andere grote namen duiken op, zoals Microsoft en Barracuda Networks.
De lijst die The Cybersecurity & Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), National Security Agency (NSA) en andere internationale instanties opstelden, slaat op de meest misbruikte softwarekwetsbaarheden van 2023. En ook vandaag blijft deze lijst actueel. ‘De kwetsbaarheden die in 2023 zijn misbruikt, zullen ook in 2024 en 2025 een prominente rol blijven spelen’, stelt Jeffrey Dickerson, technisch directeur cyberbeveiliging bij de NSA, in een mededeling naar aanleiding van de publicatie.
Opvallend is dat de meerderheid van de kwetsbaarheden eerst werd uitgebuit als zogenaamde zero-day, dus voordat ze door de leverancier kunnen worden gepatcht. In het afgelopen jaar hebben cybercriminelen vaker zero-days gebruikt om organisaties binnen te dringen. Dit stelt bedrijven voor grote uitdagingen, omdat sommige zero-day-kwetsbaarheden maandenlang onopgemerkt blijven, waardoor aanvallers ruim de tijd hebben om schade aan te richten.
Een voorbeeld is CVE-2023-3519, een kwetsbaarheid in Citrix NetScaler ADC/Gateway. Binnen enkele weken waren meer dan tweeduizend Citrix-servers wereldwijd geïnfecteerd. Bovendien werd deze code-injectiekwetsbaarheid al vroeg in 2023 actief uitgebuit door staatshackers, die de kwetsbaarheid gebruikten om te infiltreren in kritieke infrastructuur in de VS.
Een ander voorbeeld is CVE-2023-27997, een buffer-overflow-kwetsbaarheid in Fortinet FortiOS/FortiProxy SSL-VPN. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om op afstand toegang te krijgen tot onbeveiligde systemen. Voor organisaties die bijvoorbeeld sterk afhankelijk waren (of zijn) van vpn’s, komt zo’n kwetsbaarheid dan ongelegen.
De kwetsbaarheden in producten zoals van Citrix, Cisco en Fortinet zijn met name problematisch omdat deze systemen veel voorkomen in bedrijfsnetwerken. Bedrijven lopen dan het risico dat aanvallers toegang krijgen tot vertrouwelijke gegevens, zoals klantinformatie of intellectueel eigendom. Daarnaast kunnen bedrijfsactiviteiten worden verstoord, bijvoorbeeld door ransomware-aanvallen of de uitval van kritieke it-systemen.
Patchen en monitoren
De cyberveiligheidsorganisaties benadrukken in hun rapport dat bedrijven steeds korter op de bal moeten spelen om hun systemen te beschermen tegen deze bedreigingen. ‘Allereerst is het cruciaal dat organisaties regelmatig softwareupdates en beveiligingspatches uitvoeren. Zeker voor systemen die bekendstaan als risicovol, zoals netwerkapparatuur’, waarschuwen ze. ‘Implementeer daarom een gecentraliseerd patchbeheersysteem’.
Daarnaast moeten organisaties investeren in proactieve monitoring en geavanceerde detectietools om verdachte activiteiten vroegtijdig op te merken en te beperken. Volgens Dickerson moeten organisaties niet alleen focussen op het patchen van bekende kwetsbaarheden, maar ook voorbereid zijn op nieuwe bedreigingen. ‘Het is van essentieel belang dat bedrijven trends in zero-day-aanvallen monitoren en continu hun beveiligingsstrategieën evalueren’, stelt hij. ‘Gebruik beveiligingstools zoals endpoint detection and response, firewalls voor webtoepassingen en netwerkprotocolanalyzers. En vraag je softwareleveranciers om hun secure-by-design-programma te bespreken’, adviseert hij.
