De security consultant van Networking4all is tijdens een onderzoek naar de veiligheid van websites van zorginstellingen in Nederland gestuit op een verbazingwekkend hoog aantal onveilige websites. Eerder voerde hij al een vergelijkbaar onderzoek uit onder de websites van Nederlandse ziekenhuizen. Waren die resultaten al opzienbarend, de resultaten uit het onderzoek van de zorginstellingen bleken zorgwekkend.

Tijdens een 1-minute investigation onderzocht security consultant Dennis Veninga de websites van ruim 650 zorginstellingen. Binnen de zelf-opgelegde tijdslimiet van 1 minuut vond hij bij 42 zorginstellingen een kwetsbaarheid. De impact varieerde van acceptabele foutjes die desondanks niet slim zijn om open te laten staan, tot problemen die kunnen leiden tot grote datalekken. Al deze lekken zijn gemeld bij de getroffen zorginstelling.

XSS, LFI, SQL Injections
In de meeste gevallen ging het om een Cross-Site Scripting, oftewel XSS, vulnerability. Deze kwetsbaarheid houdt in dat de website externe invoer niet goed afschermt, waardoor er gevaarlijke externe scripts kunnen worden uitgevoerd in de browser van de bezoeker. Een veel voorkomende exploit van deze vulnerability is het laten uitvoeren van Javascript waarmee bijvoorbeeld cookies kunnen worden uitgelezen of code op de achtergrond kan worden uitgevoerd. Wanneer de gebruiker in kwestie adminrechten heeft, zou de aanvaller er zo vandoor kunnen gaan met de login-gegevens van de administrator, en zelfs de hele website kunnen overnemen. Vaak komen dit soort vulnerabilities voor bij invoervelden zoals in een contactformulier of zoekveld.

 

Bij twee websites werd een Local File Inclusion kwetsbaarheid gevonden. Met deze vulnerability kunnen lokale bestanden ingezien worden zoals configuratiebestanden of andere belangrijke informatieve bestanden. Denk bijvoorbeeld aan db_config.php, een bestand waarin de nodige gegevens in staan om een connectie te maken met een database. Dit is cruciale en waardevolle informatie voor een aanvaller.

Twee websites hadden te maken met een SQL injectie, waarmee het mogelijk is om informatie uit de database te halen zonder enige vorm van authenticatie nodig te zijn. Het is zelfs mogelijk om met een SQL injectie bestanden aan te maken op de server, zoals een shell. Hiermee is een hacker in staat om een achterdeur in het systeem te creëren waardoor hij alle bestanden en mappen op een server in kan zien. Deze worden vaak goed weggestopt tussen de andere bestanden.

In twee gevallen ging het zelfs om een website die een combinatie van alle bovenstaande vulnerabilities bevatten. Een van deze websites is echter niet meer in gebruik, en accepteert daarom geen aanpassingen op de website, maar staat nog wel online. Voordat er belangrijke informatie lekt, of er misbruik gemaakt wordt van de open deuren, zou het verstandig zijn om deze website offline te halen.

Beperkte reactie
Security consultant Dennis Veninga heeft, sinds hij begonnen is met het onderzoek in februari, contact gezocht met de eigenaren van de getroffen websites. Van de 42 zorginstellingen zijn er tot nu toe echter pas 18 die een reactie hebben gegeven op de melding van de kwetsbaarheid. Van deze partijen hebben 11 zorginstellingen aangegeven het probleem op te gaan lossen. Van de overige zeven gaven drie partijen aan dat zij de lekken niet op gaan lossen, omdat er niet de juiste mankracht voor is, of omdat de website binnenkort vernieuwd wordt. De andere vier reageerden niet meer na het initiële contact, maar zouden de melding doorgezet kunnen hebben naar de verantwoordelijke medewerker of partij. Bij de overige instellingen hebben de herhaaldelijke pogingen tot contact nog geen reactie opgeleverd.

Zelf scannen
Bent u benieuwd geworden naar de veiligheid van uw eigen website, of wilt u wel eens weten wat onze security consultants kunnen vinden op uw servers? Lees meer over onze security assessments.  Heeft u vragen over onze security producten? Neem even contact op met de sales-afdeling via sales@networking4all.com.

Lees relevante artikelen

Categorie  SSL & Security | Tags  onderzoek Security