ziekenhuizen hebben onvoldoende beveiligde websites

Uit onderzoek van Networking4all is gebleken dat een aantal Nederlandse ziekenhuizen hun websites onvoldoende beschermen. Security consultant Dennis Veninga onderzocht 175 websites van Nederlandse ziekenhuizen en klinieken met een 1 minute investigation. Hierbij ontdekte hij binnen de opgelegde tijdslimiet van 1 minuut bij ruim 10 websites minimaal één beveiligingslek.

Cross-site Scripting
Het meest voorkomende beveiligingslek is een Cross-site Scripting, of XSS, vulnerability. Deze kwetsbaarheid houdt in dat de website externe invoer niet goed afschermt, waardoor er gevaarlijke externe scripts kunnen worden uitgevoerd in de browser van de bezoeker. Een veel voorkomende exploit van deze vulnerability is het laten uitvoeren van Javascript waarmee bijvoorbeeld cookies kunnen worden uitgelezen of code op de achtergrond kan worden uitgevoerd. Wanneer de gebruiker in kwestie adminrechten heeft, zou de aanvaller er zo vandoor kunnen gaan met de login-gegevens van de administrator, en zelfs de hele website kunnen overnemen. Vaak komen dit soort vulnerabilities voor bij invoervelden zoals in een contactformulier.

De XSS vulnerability is makkelijk te voorkomen door invoervelden te encoden voordat ze verwerkt worden, zodat code niet uitgelezen wordt als code, maar als een stukje tekst. Formulieren en andere invoervelden zouden daarom nooit zomaar toegevoegd moeten kunnen worden aan een website. De kwetsbaarheid staat echter met een reden al jaren in de OWASP Top Ten: onervaren website beheerders of slecht geïmplementeerde plugins zorgen er voor dat deze kwetsbaarheid nog steeds veelvuldig voor komt.

Local File Inclusion
Daarnaast hadden twee van de onderzochte websites zelfs hun complete infrastructuur openstaan voor de wereld. Door een programmeerfout in het bestand download.php kon een zogenaamde Local File Inclusion worden uitgevoerd. Hierdoor was het mogelijk om lokale bestanden te downloaden. Dankzij deze mogelijkheid kon een configuratiebestand worden bemachtigd met alle database informatie, inclusief inloggegevens.

De ziekenhuizen waarbij kwetsbaarheden gevonden zijn, zijn op 25 januari 2018 door onze security consultant op de hoogte gebracht van de lekken. Op het moment van schrijven zijn er nog drie ziekenhuizen die hun website niet hebben bijgewerkt, waarvan twee hebben aangegeven binnenkort een nieuwe website te lanceren en daarom geen tijd te willen besteden aan het repareren van deze fout. Tijdens het onderzoek is Veninga niet gestuit op patiëntgegevens.

Wilt u zeker weten dat uw website of webapplicatie niet open staat voor kwetsbaarheden? Laat uw website scannen met een security scan. Heeft u vragen over onze security producten? Neem even contact op met de sales-afdeling via sales@networking4all.com.

Lees relevante artikelen

Categorie  Bedrijfsnieuws Research SSL & Security | Tags  research Security