Onderzoeker schoont 9000 voor NSA-exploit kwetsbare servers in Nederland op

Beveiligingsonderzoeker Victor Gevers heeft samen met andere leden van zijn GDI Foundation sinds begin deze maand meer dan 15.000 meldingen gedaan bij Nederlandse organisaties die kwetsbaar zijn voor de NSA-exploit waarmee de WannaCry-ransomware werd verspreid. Dat zorgde tot nu toe voor een vermindering van meer dan 9000 kwetsbare hosts.

Uit statistieken die Gevers op verzoek van Tweakers deelde, blijkt dat er tot nu toe 9294 Nederlandse hosts als 'fixed' zijn aangemerkt op 5 juli. Een dag eerder waren dat er nog 4643 en een daarvoor slechts twee. Gevers laat weten: "Tussen 2 en 5 juli hebben we 15.427 e-mails verstuurd naar eigenaren en isp's waardoor er nu van 15.722 kwetsbare servers 9.294 zijn gepatcht of achter een firewall draaien. Er is een handjevol servers offline gehaald. Er staan nog 6.411 servers open, dus we zijn er nog niet. De zwaarste klus komt nog."

Hij geeft aan verbaasd te zijn over de snelheid waarmee organisaties reageren. "Ik heb in de twintig jaar dat ik meldingen doe nog nooit meegemaakt dat kwetsbaarheden zo snel op een grote schaal en met meerdere partijen die geen onderlinge zakelijke relatie hebben, worden opgelost." Als verklaring draagt hij aan dat het uitgebreide nieuws over het SMB-lek, dat werd gebruikt bij de snelle verspreiding van onder meer WannaCry, ervoor zorgt dat dit nog vers in het geheugen zit. Ook zou de aankomende schoolvakantie ervoor kunnen zorgen dat organisaties nog snel een oplossing vinden.

Gevers vervolgt: "Petje af voor het mkb en hun it-providers. Want zij hebben laten zien dat ze het wel degelijk serieus nemen en meteen actie ondernemen." Hij hoopt dat ook de nu nog kwetsbare hosts snel verdwijnen. Daarvoor zegt hij de hulp van hosters en isp's nodig te hebben. Hij is momenteel bezig om ook mensen buiten Nederland ertoe aan te zetten hetzelfde te doen in hun eigen landen. Zijn statistieken, die zijn samengesteld op basis van OSINT, tonen bijvoorbeeld aan dat er wereldwijd nog bijna een miljoen kwetsbare hosts te vinden zijn.

De scans die Gevers en zijn organisatie GDI Foundation uitvoeren, zoeken naar hosts die kwetsbaar zijn voor het SMB-lek dat wordt gebruikt door de NSA-exploit Eternalblue. Deze werd in april door de zogenaamde Shadowbrokers vrijgegeven. Kort daarna bleek dat Microsoft de onderliggende lekken al had gepatcht, mogelijk omdat de NSA deze zelf aan het bedrijf had gemeld. Ondanks de patches kon de WannaCry-ransomware zich snel verspreiden door gebruik te maken van Eternalblue. Ook de meer recente NotPetya-malware gebruikte het lek, maar alleen om zich binnen een intern netwerk te verspreiden.

victor gevers screenshot

Door Sander van Voorst

Nieuwsredacteur

Feedback • 06-07-2017 15:33 46

06-07-2017 • 15:33

46

Lees meer

Aantal open memcached-servers daalt door Nederlandse en internationale inzet
Aantal open memcached-servers daalt door Nederlandse en internationale inzet Nieuws van 12 maart 2018
Fox-IT maakt herstel verwijderde NSA-logs mogelijk
Fox-IT maakt herstel verwijderde NSA-logs mogelijk Nieuws van 8 december 2017
Voormalig NSA-medewerker bekent schuld aan stelen geheime informatie
Voormalig NSA-medewerker bekent schuld aan stelen geheime informatie Nieuws van 2 december 2017
Onderzoekers omzeilen Windows Defender-scan via eigen smb-server
Onderzoekers omzeilen Windows Defender-scan via eigen smb-server Nieuws van 28 september 2017
Personen achter WannaCry-ransomware legen bitcoinwallets met losgeld
Personen achter WannaCry-ransomware legen bitcoinwallets met losgeld Nieuws van 3 augustus 2017
'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie'
'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie' Nieuws van 18 mei 2017
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde Nieuws van 14 april 2017
Meer producten en artikelen
Netwerk en systeembeheer Nederland NSA Security WannaCry

Reacties (46)

-Moderatie-faq
46
45
26
2
0
11
Wijzig sortering
Heli0s 6 juli 2017 15:36
Goed dat er zo snel word gerageerd, maar de patch hier voor is al maanden uit en had dus al lang uitgerold moeten zijn. Als het kalf verdronken is dempt men de put...
anargeek @Heli0s6 juli 2017 15:49
De patch voor Heartbleed/CVE-2014-0160 is sinds 2014 uit maar er zijn nog altijd bijna 200,000 sites kwetsbaar voor deze bug (bron januari 2017).

Soms gebeurd er pas wat als een organisatie er rechtstreeks op gewezen wordt (lang niet iedereen heeft een security team in dienst), en gezien bovenstaande statistieken lossen veel bedrijven dankzij het werk van GDI Foundation het probleem nu wel op.

Dus hulde voor dit initiatief. Ze hoefden het niet te doen, maar doen het toch. Met resultaat

[Reactie gewijzigd door anargeek op 26 juli 2024 06:06]

Junketsu @Heli0s6 juli 2017 15:40
Sommige herders zijn het overzicht van hun kalveren kwijt dus dan is het fijn dat ze er door een derde partij op worden gewezen ;)
Oerdond3r @Junketsu6 juli 2017 15:59
Tsja... Als je het zo bekijkt ben je dus eigenlijk niet zo'n goede herder ;)

Maar ik snap ook wel dat het voor midden- en kleinbedrijf lastiger is dit te managen, die hebben soms helemaal geen geld voor een full-time herder. En als het eenmaal draait, waarom nog naar omkijken.
MartijnAbel @Heli0s6 juli 2017 15:40
Eens, maar wees blij dat er een organisatie is die e.e.a. alsnog aanstipt richting de bedrijven dat deze er toch de noodzaak van inzien om het gebeuren te patchen. Ook al is het onder het mom: beter laat dan niet
anboni @Heli0s6 juli 2017 17:21
Wat ik nog veel zorgwekkender vind, dit betreft een SMB exploit. Waarom zijn er zoveel servers via internet met SMB te bereiken? Daar moet je wel heel verdomd goede redenen voor hebben.
sugarlee89 @anboni6 juli 2017 20:01
Eerste wat ik ook dacht, dik wtf moment.
[Yellow] 6 juli 2017 16:19
Dat hij die servers heeft gevonden betekent dus ook dat die machines rechtstreeks aan het internet hangen met hun SMB poort (tcp 445). Geen of slecht ingestelde firewall blijkbaar. In één woord: wow 8)7
Houtenklaas @[Yellow]6 juli 2017 16:52
Of een honeypot. Je had "wow" van mij in capitals mogen doen. Zijn dit nu de ICT'ers die iets installeren, testen, zien dat het "werkt" en er dan verder vanaf blijven voordat het wordt stuk-geknutseld?

Wat mij betreft mag dit een soort van strafbaar worden. Of op provider niveau dichtzetten, tenzij je kunt aangeven waarom het open moet staan.Of liever nog, gebruik een VPN tunnel waar je dit soort dingen overheen doet, met de rekenkracht van de hedendaagse routers mag dat geen probleem meer zijn.
valkenier @[Yellow]6 juli 2017 17:51
Een woeste nmap scan op port 445 van een beste meuk ip's is kennelijk simpelweg wat hij doet. En dan dit soort aantallen vinden van open servers. SMB poort open..... 8)7
Tjees, dat er niet al veel eerder wannacry's zijn geweest. En ik geloof er niets van dat dit honeypots zijn.
Anoniem: 867213 6 juli 2017 16:03
Wel bijzonder dat het nu zo snel gaat.

Ik heb een paar jaar geleden aan de ontvangende kant van een WordPress pingback DDOS aanval gestaan, en ik heb na die tijd de eigenaren van de betreffende sites, automatisch natuurlijk, een mailtje gestuurd met daarin de uitleg van het probleem en de oplossing.
De response daarop lag rond de 10%.
johnkeates @Anoniem: 8672136 juli 2017 17:04
Dat komt meestal door dat wordpress-gebruikers weinig weten van de infrastructuur waar ze op draaien. Publieke servers hebben over het algemeen een iets hogere kennisgraad. Helaas zijn er daar nog steeds vrij veel eigenaren die gewoon niet precies weten wat ze aan het doen zijn, en bij dat soort systemen is de impact meteen ook een stuk groter.
ajolla @Anoniem: 8672137 juli 2017 04:20
Vraag ze de rootrechten en breng een paar Euro in rekening om het te fixen.
wica 6 juli 2017 16:04
Uit statistieken die Gevers op verzoek van Tweakers deelde, blijkt dat er tot nu toe 9294 Nederlandse hosts als 'fixed' zijn aangemerkt op 5 juli.
Hmm, deze gegevens zijn toch openbaar verschenen op zijn twitter account.
Met als eerste bericht, als je dit IP ziet, ben ik het.

Verder wel netjes hoe ze het gedaan hebben, echter zijn dit alleen de machine's die direct aan internet hingen.
En hebben we verder nog geen idee hoeveelkweetsbare machine er in Nederland zijn.
Houtenklaas @wica6 juli 2017 16:44
Voor de luie Tweakert de bedoelde Tweet

Ze hebben mij gemist Ach nee, poort 445 komt bij mij in /dev/null uit :z

[Reactie gewijzigd door Houtenklaas op 26 juli 2024 06:06]

Qwerty-273 6 juli 2017 16:09
Een andere optie is soms ook dat een server al uitgefaseerd is (in de cmdb) maar nooit uitgezet / opgeschoond is, en dus lekker door draait. Of iets dat ooit voor een poc in elkaar gedraait is door een stagiar (of medewerker) zonder enige kennis van beveiliging, het systeem dus niet gebruikt wordt / productie is, maar wel gewoon door draait in een dmz waar het nooit zou moeten zitten.
Dan kan het makkelijk zijn voor afdelingen (zeker als het wordt gelinkt met WannaCry omdat die behoorlijk in het nieuws is geweest) om een korte ronde te doen, kent iemand die machine? Is dat belangrijke productie? Nee? dan zetten we hem direct uit en kijken we in/na de vakantie wel verder.
Houtenklaas @Qwerty-2736 juli 2017 17:03
Je bedoelt neem ik aan: We laten hem aanstaan, maar trekken de netwerkstekker er uit. Machines zonder eigenaar kunnen de nare eigenschap hebben binnen bedrijven toch een cruciale functie te vervullen. Uitzetten zonder kennis van inloggegevens kan dan meer ellende opleveren. En ja, als het zover komt, is dat heel erg ja. Maar ik ben er toch al wat tegengekomen op mijn werk toen ik ooit een datacenter mocht leeg-migreren. Dan hou je zomaar 10-15% servers over waarvan niemand weet wat ze doen. De netwerkkabel er uit trekken bleek zeer effectief! Machines domweg uitzetten is lang niet altijd een goed idee, al was het maar om data corruptie te voorkomen ...

[Reactie gewijzigd door Houtenklaas op 26 juli 2024 06:06]

Anoniem: 753815 6 juli 2017 17:47
Kan iemand mij verwijzen naar de lijst met IP-adressen? Even kijken of ik erbij zit.
[Yellow] @Anoniem: 7538156 juli 2017 18:03
Gibson Research ShieldsUp! vanaf je server bezoeken en dan 'All service ports' kiezen. Website komt uit stenen tijdperk, maar laat wel perfect zien welke poorten je open hebt staan!
HansvDr 6 juli 2017 17:10
Trans-IP kwam in April met een melding als je je Windows VPS niet had bijgewerkt en sloot meteen poort 445. Na doorvoeren update kon de poort weer open.
MrMonkE 6 juli 2017 19:51
Een bedankje is wel op zijn plaats.
Bedank Victor!
totaalgeenhard 6 juli 2017 18:46
Totdat iemand aangifte doet van o.a. pogingsdelict.

Ik snap niet dat mensen tolereren dat iemand een strafbare handeling doet. Sinds wet computercriminaliteit 2 is het niet meer toegestaan om te scannen ongeacht reden.

Bovendien kan om zelfstandig zonder aangifte over gaan tot vervolging ook in gevallen dat heerschap een getekende vrijwaring van een bedrijf heeft.
Anoniem: 85014 @totaalgeenhard6 juli 2017 19:59
Nakijken of een TCP poort open staat, connectie maken, en wat bytes aflezen om de versie van het protocol te weten, is precies hetzelfde als wat jouw browser doet wanneer je naar een website surft.

M.a.w. wat hij doet is net zo legaal/illegaal als wat jij doet wanneer je naar tweakers.net surft. Alleen gebruik jij poort 80 en 443, en hij 139 en 445.

Het kan zijn dat zijn ISP het niet toestaat dat hij zulke brede scans doet over zulke brede IP-ranges. Maar er zijn ISPs die dat wel toelaten. Dus ja.
Anoniem: 85014 @totaalgeenhard6 juli 2017 22:10
Ik vind eigenlijk wel grappig dat in het artikel naarwaar je verwijst, letterlijk staat dat het niet strafbaar is.
Een port scanner is een van de meest gebruikte tools van de tegenwoordige hacker. Port scans worden toegepast om vast te stellen welke TCP- en UDP-poorten op externe systemen luisteren en zijn een mogelijke indicatie dat er een gerichte aanval op een geautomatiseerd systeem, het doelsysteem, op handen is. Binnendringen in een computersysteem is strafbaar als computervredebreuk. Echter, in het Wetboek van Strafrecht is geen bepaling opgenomen die de portscan strafbaar stelt.

Het hangt van de omstandigheden van het geval af of de port scan wordt gebruikt voor het plegen van een ander strafbaar feit, zoals het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk (art. 138ab, lid 1 WvSr). Er kan dan sprake zijn van poging met betrekking tot het plegen van dat andere delict. Indien de port scan kan worden gezien als een voornemen van de dader tot het binnendringen in de computer, het vernielen van een geautomatiseerd werk, het vernielen van gegevens of afluisteren, dan kan strafbaarheid ontstaan op grond van poging. Dit artikel is een bewerking van de scriptie van jurist Jaap Timmer over de strafbaarheid van portscannen.
In deze omstandigheden was het niet de bedoeling van de onderzoeker het plegen van een (ander) strafbaar feit, zoals het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk.

Dus einde verhaal. Het is binnen de wet gedaan.
totaalgeenhard @Anoniem: 850146 juli 2017 22:27
Heb je scriptie gelezen?

Auteur van scriptie is van mening dat scannen niet strafbaar zou moeten zijn. Echter in zijn conclusie geeft hij al aan dat hoge raad van mening is dat mensen die delict voorbereiden daar niet mee weg mogen komen.

In Europees verband zijn tools verboden.

nieuws: Europees parlement wil hack-software verbieden
Anoniem: 85014 @totaalgeenhard6 juli 2017 22:31
In deze context is de poortscanner geen hack tool. Er werd niet mee ingebroken.

M.a.w. is een schroevendraaier in de context van een autogarage ook niet verboden. In de context van het plegen van een woninginbraak, misschien wel. Dan kan het gebruikt worden om ramen te forceren.
airell @Anoniem: 850147 juli 2017 10:25
Fijn dat je aangeeft en uitzoekt dat het binnen de wet mag en en niet strafbaar is (+2), maar doet niet af van het feit dat het mogelijk on-ethisch beschouwd kan worden toch?

Ja mag (volgens mij) aan ieders deur rammelen in de straat, maar leuk vind de buurt het niet.
Anoniem: 85014 @airell7 juli 2017 14:10
Ja ok, maar ik reageerde enkel op het wettelijke aspect. Niet op het ethische.

Reagerend op het ethische aspect vind ik het niet onethisch wat deze persoon gedaan heeft. Daarom vind ik het goed dat ons wettelijke aspect het niet strafbaar maakt (er is geen schade, en zijn bedoelingen waren niet onethisch - die twee voorwaarden zijn voor mij de belangrijkste om het buiten het correctionele kader te houden).
Mathijs @totaalgeenhard6 juli 2017 21:12
Onethisch, nogal overtrokken. Het draait allemaal om het doel waarvoor het gedaan wordt.
Ik vind onderzoek waarbij mijn machines op 2 poorten eenmalig gescand worden totaal geen probleem. Ik vind onderzoek waarbij ik telefonisch of per mail wordt lastig gevallen wel een groot probleem en dat zou ik eerder overtrekken naar "onethisch" dan een poortscan vanuit goede bedoelingen.
Nu is er bij mij natuurlijk ook geen samba bereikbaar vanaf het internet. Ik sta werkelijk met mijn oren te klapperen bij het lezen van dit soort aantallen.
totaalgeenhard @Mathijs6 juli 2017 22:06
Het doel heiligt de middelen niet.

Er is reden waarom overheid het niet zelf doet.
ajolla @totaalgeenhard7 juli 2017 04:29
Ja, omdat dat tot protesten zal leiden vanwege de vele petten (o.a. bespioneren van de eigen burgers) die het kliekje mensen dat wij 'overheid' noemen op heeft.
Een enkele integere onderzoeker kan geen kwaad.
totaalgeenhard @ajolla7 juli 2017 06:33
Nee hoor, want overheid doet al genoeg dingen waardoor we feitelijk al geen privacy hebben.

Het heeft te maken met aansprakelijkheid.
RGAT @totaalgeenhard6 juli 2017 20:13
Vrijwele geen agent weet waar je het over hebt en degene die het wel weet vertelt je buiten te gaan spelen ;)
Dit neemt geen enkele rechter uberhaupt aan, is een zeer duidelijke intentie om te waarschuwen, niet om criminele handelingen te doen.
totaalgeenhard @RGAT6 juli 2017 20:30
Zie reactie hierboven.

Al hoewel dat kennis nog lang niet optimaal is beginnen de procedures bij politie wel steeds beter te worden waardoor de afdeling en mensen met de competenties wel snel betrokken zijn bij je aangifte.

Het ia daarna aan OvJ (en hulp ovj) of ze er werk van gaan maken.

En daarbij maakt het wel (klasse justitie) helaas uit of het een particulier of een bank is doe aangifte doet.

Maar als uit onderzoek blijkt dat iemand die een pogingsdelict ook bik anderen heeft gedaan en diegene doen geen aangifte kan men zondermeer tot vervolging overgaan.

False positives komen door dit soort figuren en als je daarna ook gespammed gaat worden omdat heerschap van mening is dat je iets op te lossen hebt gaat veels te ver.

Je hebt nog een paar partijen die ongevraagd scannen (en soms verder dan dat zoals relay test) en abuse sturen.
RGAT @totaalgeenhard6 juli 2017 20:42
En waar exact is dit ongewenst? Ik zou heel blij zijn als iemand mij erop wijst dat mijn deur open staat en de sleutels erin hangen, wetende dat enkele minuten erna iemand naar binnen zou zijn gegaan om de boel te jatten.
Hoe wil je overigens een false positive op een poort check krijgen? Er reageert een SMB service of niet, reageert die = lek.
Verder is 'pogingsdelict' wel de meest verre poging om dit als strafbaar aan te merken, werkelijk niemand gaat daar in mee, niet buiten de rechtzaal en er binnen ook niet...
totaalgeenhard @RGAT6 juli 2017 22:25
Als jij je auto niet afsluit of iets kostbaars in het zicht laat liggen kun je een boete krijgen.

Als iemand de straat afloopt en autoportieren "checked" zal zijn nobele daad een paar uur cel opleveren.

Dit is niet anders.
RGAT @totaalgeenhard6 juli 2017 23:08
Dit is inderdaad niet anders dan gewoon kijken of de deur open staat, dat je computer geen ogen heeft betekent dat we zoals met alles op het internet kijken door te 'poken', dat is de internet variant van zien dat de deur open of dicht staat zonder een koevoet te gebruiken, daar is niks mis mee, sterker nog dat is zoals het hoort.
Wat dat met autoportieren checken heeft te maken...
Op moment dat iemand de poort scant en dan een payload erop gooit om te kijken of iemand gevoelig is voor een exploit ben je strafbaar bezig, alleen even een kleine request sturen om te kijken of iets reageert is normaal, als er iets kan reageren is het juist de bedoeling dat je op zo'n manier contact legt.
Dit is hoe het internet werkt, niks strafbaars aan het internet gebruiken dus, heeft niks te maken met portieren open breken en niks met illegale praktijken op wat voor manier dan ook.
totaalgeenhard @RGAT7 juli 2017 00:17
Los van portscan discussie lees scriptie staan valide punten in, nodig ik je uit om document in het artikel te openen.

Dan krijg je de suggestie dat ze wereldwijd 1,5 miljoen machines hebben gevonden waar tegen ze exploit hebben getest.... even los van de andere miljoenen die ze slechts "geport scanned" hebben.

Er zijn partijen die periodiek heel internet afscannen die databasese kunnen misbruikt worden.
RGAT @totaalgeenhard7 juli 2017 00:31
De mensen die dergelijke databases misbruiken zijn ook wel in staat om een poortscan te starten, zelfs de meest irritante scriptkiddie help je hier dus niet mee ;)
En daarbij, in het ergste geval raken die machines dus besmet, met zulke waardeloze beveiliging gebeurt dat sowieso al een keer, we moeten ergens beginnen met bewust maken, beter nu dan over een tijdje wanneer de zoveelste malware uitbraak gebeurt...
totaalgeenhard @RGAT7 juli 2017 00:36
Als je portscanned en daarna een exploit toetst (wat je uit document kunt halen) ben je crimineel bezig.

Los van pogingsdelict kun je niet voorspellen hoe systeem aan elk IP op scan en probe van exploit zal reageren.

DoS is grootste risico bij elk footprinting die je doet en exploit testen doet daar schepje bovenop.
Anoniem: 304028 @RGAT7 juli 2017 09:59
En als zij het doen op deze manier, heb je in ieder geval iemand om een rechtszaak tegen te beginnen als je besmet raakt. Dat scheelt natuurlijk ook een boel, nu nog even wachten op de eerste rechter die het aannemelijk acht dat jou computer/server is besmet door deze online lijst. En je kan mooi de kosten verhalen 8)7 .
Anoniem: 200498 @RGAT6 juli 2017 21:47
Er zijn wel uitzonderingen, als jij een samba share read-only opzet met alleen hetgene wat je wilt delen niet natuurlijk.
(en op een (tot nu toe) veilig systeem)
Mic2000 6 juli 2017 18:33
Geef die man op zijn minst even een gouden bekertje :Y)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq