Eerder dit jaar deed Networking4all een beveiligingsonderzoek naar de websites van ziekenhuizen en zorginstellingen. Hierbij kwamen opvallende resultaten aan het licht. Begin september besloten we daarom een tweede onderzoek te starten onder de websites van gemeenten in Nederland.

In totaal heeft onderzoeker Dennis Veninga ruim 380 gemeenten onder de loep genomen met een 10-minuten onderzoek. Van de 380 waren er gelukkig maar 7 lek. De gevonden kwetsbaarheden varieerden van Cross-Site Scripting vulnerabilities tot SQL injecties, en waren grotendeels te vinden op subdomeinen van de gemeentewebsites. Hierdoor was de impact en het risico op schade aanzienlijk kleiner, dan wanneer de hoofdwebsite was getroffen. Desalniettemin kan met een SQL injectie achterliggende servers benaderd worden, ook vanaf een subdomein, en kan een hacker alsnog aan gevoelige data komen, of zelfs het systeem overnemen.

Van de 7 kwetsbare websites waren er 4 waar een SQL injectie uitgevoerd kon worden op een subdomein. Tijdens ons onderzoek hebben we meer tijd uitgetrokken om deze vondsten uitgebreid te bekijken. Daarom konden we ons ervan verzekeren dat de kwetsbaarheden niet te misbruiken waren om op de achterliggende server te komen.

Tijdens ons onderzoek gebruikten we specifieke zoektermen waardoor pagina’s met interessante extensies sneller gedetecteerd worden. Daarnaast maken we gebruik van de Chrome extensie Shodan om te kijken welke poorten open staan. Deze extensie is een open-source zoekmachine die IoT-apparaten indexeert en meteen aantoont of er verouderde services draaien op een server die wellicht te misbruiken zijn.

Het onderzoek toonde ook aan dat veel gemeenten gebruik maken van dezelfde CMS software. Hoewel dit niet direct een negatief punt is betekent het wel, dat wanneer deze software een kwetsbaarheid oploopt, een groot deel van de gemeentewebsites lek is. Gelukkig wees ons onderzoek ook uit dat het overgrote merendeel van de gemeentelijke websites gebruik maakt van HTTPS verbindingen, al vergaten een aantal gemeenten wel hun subdomeinen ook mee te nemen in deze beveiliging.

In samenwerking met Informatiebeveiligingsdienst.nl (IBD) hebben we de getroffen gemeenten op de hoogte gesteld van de gevonden kwetsbaarheden. De eerste gemeente had het lek binnen twee dagen opgelost. Van de zeven gemeenten die wij op de hoogte hebben gesteld, zijn er op het moment van publiceren nog drie die de kwetsbaarheid niet verholpen hebben.

Lees relevante artikelen

Categorie  Research SSL & Security | Tags  onderzoek Security