Een kwetsbare wereld
Het is een pittige tijd in cybersecurity land. Misschien wel de zwaarste ooit. Alleen al in de afgelopen drie maanden zijn er meer dan twaalf zero-days ontdekt waarbij talloze organisaties over de hele wereld zijn getroffen.
Het is amper vier maanden geleden dat we te maken hadden met het SolarWinds incident. Een keerpunt in cyberaanvallen, waarbij we zagen wat de impact kon zijn van dergelijk kwetsbaarheid. En dan nu het Microsoft Exchange incident die begon met spionage door hackers groep 'Hafnium'. Maar inmiddels misbruiken diverse hackersgroepen deze kwetsbaarheden. Zo melde ESET dat er aanvallen gedetecteerd werden van hackersgroepen zoals LuckyMouse, Tick, en Calypso APTs, maar ook “een paar nog-niet-geclassificeerde hackersgroeperingen.” FireEye meldde ook aanvallen te hebben gezien van drie verschillende clusters die het bedrijf volgde als UNC2639, UNC2640 en UNC2643.
Met de invloed van Microsoft Exchange-servers over de gehele wereld is de omvang van het incident niet alleen een beveiligingsprobleem, maar in werkelijkheid een big data-probleem.
In Nederland
In Nederland zijn nog zestienhonderd Exchange-servers kwetsbaar voor aanvallen omdat ze belangrijke beveiligingsupdates missen. Dat laat securitybedrijf RiskIQ op basis van eigen onderzoek weten. Het bedrijf detecteerde op 11 maart ruim 82.000 kwetsbare Exchange-servers. De servers missen beveiligingsupdates voor vier kwetsbaarheden die actief worden aangevallen en aanvallers in staat stellen om servers over te nemen.
Risico servers
Bijna twintigduizend van de gevonden servers staan in de Verenigde Staten, gevolgd door Duitsland met nog ruim elfduizend kwetsbare servers. Nederland staat in een overzicht van landen met het grootste aantal kwetsbare Exchange-servers op de elfde plek. Volgens RiskIQ zijn er hier nog zestienhonderd servers die risico lopen.
Van de nog ongepatchte ruim 82.000 servers draait het grootste deel Exchange 2016. Zowel kleine als grote organisaties werken nog met kwetsbare Exchange-servers. Zo telde het securitybedrijf 312 banken, 335 zorginstellingen, 105 farmaceutische bedrijven en 153 servers van Amerikaanse overheidsinstanties die nog kwetsbaar zijn.
De reden
"Een reden dat er zo traag wordt gereageerd is dat veel organisaties niet beseffen dat ze hun Exchange-servers hebben blootgesteld aan het internet. Een andere reden is dat veel van deze servers niet zijn te patchen en moeten worden geüpgraded, wat een complexe oplossing is", aldus RiskIQ. De data die het bedrijf verzamelde wordt met allerlei partijen en instanties gedeeld, zodat die de kwetsbare organisaties kunnen waarschuwen.