Hackerscollectief DIVD waarschuwt voor het eerst voor bug zonder oplossing

De hackersstichting DIVD heeft informatie vrijgegeven over een kwetsbaarheid in een Amerikaans aanbestedingsplatform. Het is voor het eerst dat het collectief zich naar eigen zeggen gedwongen voelt zulke informatie vrij te geven. Het reageerde meer dan drie jaar niet op de ontdekkers.

Het Dutch Institute for Vulnerability Disclosure heeft voor het eerst in zijn bestaan 'een officiële productwaarschuwing' afgegeven. De organisatie raadt het gebruik van het Amerikaanse SicommNet Basec officieel af, iets dat het naar eigen zeggen nog nooit eerder heeft gedaan. SicommNet Basec is een tool waarmee Amerikaanse overheidsinstellingen aanbestedingen kunnen beheren. In Nederland en België wordt de software waarschijnlijk niet gebruikt.

Desondanks waarschuwt DIVD voor ernstige kwetsbaarheden in het platform. Die maken het mogelijk om 'alle beveiligingsmaatregelen te omzeilen en volledige toegang te krijgen tot het systeem en alle kwetsbare data', schrijft DIVD. De stichting heeft een advisory geschreven waarin het meerdere bugs beschrijft in het systeem. Het gaat om een SQL-injectionbug, een slecht opgeslagen wachtwoord, en de mogelijkheid om XSS- en HTML-injections op een loginpagina te doen.

DIVD raadt officieel aan het product niet te gebruiken. Huidige gebruikers moeten hun data als gecompromiteerd beschouwen, stelt DIVD.

Dat DIVD de stap neemt om informatie naar buiten te brengen voordat de kwetsbaarheid is gerepareerd, is uitzonderlijk. DIVD is een hackerscollectief dat altijd veel aandacht heeft voor correct responsibledisclosurebeleid. De stichting voelt zich nu genoodzaakt een waarschuwing af te geven omdat het bedrijf achter de software al meer dan drie jaar niet reageert op responsibledisclosuremeldingen. De bug werd in december 2021 al ontdekt door Jesse Meijer, een hacker die bij DIVD is aangesloten. Die nam in februari 2022 al contact op met SiCommNet, maar hoorde daar lange tijd niets van. Na herhalingen in de maanden en jaren daarna, via telefoon, LinkedIn en e-mail, besloot DIVD ook het Amerikaanse Cybersecurity and Infrastructure Security Agency of CISA in te schakelen. Ook die kregen geen antwoord van het bedrijf.

Inmiddels zegt DIVD dat het vindt dat het genoeg heeft gedaan om het bedrijf op de hoogte te stellen van de kwetsbaarheden. Daarom komt het nu naar buiten met bevindingen, al ontbreken details over de bugs zoals een proof-of-concept nog altijd. Dat maakt het lastiger voor aanvallers om op basis van de DIVD-meldingen een aanval uit te voeren op SiCommNet, maar niet onmogelijk. DIVD waarschuwt er verder ook voor dat er een grote kans is dat de kwetsbaarheid al in de praktijk misbruikt is. "Gezien het feit dat zulke kwetsbaarheden al zo lang in een onlinetool aanwezig zijn, zou het me verbazen als deze nog niet zijn misbruikt", zegt Frank Breedijk van DIVD.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 14-04-2025 12:12 25

14-04-2025 • 12:12

25

Lees meer

Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval
Websites Nederlandse provincies en gemeentes onbereikbaar door cyberaanval Nieuws van 28 april 2025
Laadpalen iocharger konden overgenomen worden via zeventien zerodays
Laadpalen iocharger konden overgenomen worden via zeventien zerodays Nieuws van 9 januari 2025
Onderzoekers konden beheer Enphase-zonnepanelen overnemen via zes kwetsbaarheden
Onderzoekers konden beheer Enphase-zonnepanelen overnemen via zes kwetsbaarheden Nieuws van 12 augustus 2024
Politie haalt meerdere botnets gebruikt bij ransomwareaanvallen offline
Politie haalt meerdere botnets gebruikt bij ransomwareaanvallen offline Nieuws van 30 mei 2024
Nederlander krijgt vier jaar cel voor diefstal van miljoenen persoonsgegevens
Nederlander krijgt vier jaar cel voor diefstal van miljoenen persoonsgegevens Nieuws van 3 november 2023
Astrid Oosenbrug wordt opgevolgd door Inge Bryan bij hackerscollectief DIVD
Astrid Oosenbrug wordt opgevolgd door Inge Bryan bij hackerscollectief DIVD Nieuws van 29 september 2023
Gearresteerde Nederlandse hacker was als vrijwilliger werkzaam voor DIVD
Gearresteerde Nederlandse hacker was als vrijwilliger werkzaam voor DIVD Nieuws van 24 februari 2023
NCSC mag CVE-nummers toekennen aan kwetsbaarheden
NCSC mag CVE-nummers toekennen aan kwetsbaarheden Nieuws van 21 juli 2022
Meer producten en artikelen
Beveiliging en antivirus Dutch Institute for Vulnerability Disclosure responsible disclosure

Reacties (25)

-Moderatie-faq
25
24
17
3
0
2
Wijzig sortering
HenkEisDS 14 april 2025 14:23
Het lijkt er eerder op dat dit portaal 'gewoon' al jaren niet meer gebruikt wordt.

Dat zie je ook wel een beetje aan het wayback machine archive: https://web.archive.org/w...00*/http://sicommnet.net/
In 2019 en 2021 een wijziging op de homepage over server maintenance en verder niets.
Reageer
Bender @HenkEisDS15 april 2025 12:54
Ook al wordt het niet gebruikt, als het bereikbaar is en bevat data moet het toch veilig gehouden worden.
Reageer
locke960 14 april 2025 12:21
Is dat deze site https://sicommnet.net/login/ ?
Gelijk al een certificaat waarschuwing. Ziet er betrouwbaar uit...
DIVD raadt officieel aan het product niet te gebruiken.
Dan raad je aan geen zaken te doen met de VS-overheid. Hoe realistisch is dat?
Reageer
OhHiMarkL @locke96014 april 2025 12:28
Bijzonder, cert was net (~5 minuten terug) bij mij nog geldig.
Ingetrokken?

Edit: Ik volgde de link uit de advisory (https://basec.sicomm.net/login//) deze valideert nog wel.
Na nog even een keer kijken blijkt dat het cert dat ze gebruiken voor slechts een domein geldig is en ze het gewoon overal gebruiken .... clowns :+

[Reactie gewijzigd door OhHiMarkL op 14 april 2025 12:29]

Reageer
aeonmort @OhHiMarkL14 april 2025 12:50
Cert is inderdaad voor basec.sicomm.net. Dus ze hadden ofwel een apart certificaat voor dit subdomein moeten nemen, een wildcard, of gebruik maken van een SAN certificaat.ssl certificaat.
Reageer
morphje @OhHiMarkL14 april 2025 14:14
Als je naar de website van sicomm gaat en dan op vendor login klikt ga je ook naar die website. Dus bericht is een storm in een glas water, want die link waar naar gerefereerd wordt kan ik nergens terugvinden.
Reageer
Damic @locke96014 april 2025 12:27
Mmmh dat is raar, is toch van Lets Encrypt.

De Basic Constraints en Key Usages zijn gevlagd.
Reageer
WhatsMyUsername @locke96014 april 2025 13:19
loginform.html (Revised 2015.04.30)
:+
Reageer
c-nan @locke96014 april 2025 13:20
Nee, het gaat om https://www.sicomm.net/
Met een geldig certificaat.
Reageer
TWeaKLeGeND @locke96014 april 2025 14:06
Heel realistisch. Maar je begrijpt het niet helemaal (of ik begrijp het niet) maar ten eerste aanbestedingen worden gedaan door overheden (en bedrijven en stichtingen en...) dat wil niet zeggen dat ze alleen gedaan worden door de vs overheid. Je stadsbestuur is ook overheid en die heeft een keuze op welke manier aanbestedingen te beheren. Deze manier blijkt gatenkaas. Ook de vs regering zelf heeft dergelijke keuzes voor managen van aanbestedingen. Er zijn ongetwijfeld veel meer keuzes en dit is zeker niet de enige wijze waarom aanbestedingen beheerd worden. Een snelle Google query geeft mij in ieder geval het idee dat er honderden van dit soort platformen bestaan.

[Reactie gewijzigd door TWeaKLeGeND op 14 april 2025 14:09]

Reageer
roelboel 14 april 2025 12:17
Als ik de bugs zo zie krijg ik een indruk van amateurisme van de bovenste plank.
Reageer
Kees BOFH @roelboel14 april 2025 14:04
Als ik dit zo lees dan denk ik eerder dat het programma een tijd geleden geschreven is en dat het daarna 'af' was.

Het is dezelfde reden dat we nog computers hebben die DOS of WindowsXP draaien, puur omdat er programma's op draaien die ooit een keer geschreven zijn en daarna 'af' waren.

Het programma werkt dan de eerste jaren nog prima, maar daarna komen de wensen zoals 'ik wil het op een nieuwer operating system kunnen draaien'. Maar de teams achter dat programma bestaan niet meer, de programmeurs werken ergens anders aan of zijn met pensioen en er is gewoon geen onderhoud meer. En er is nooit een budget geweest voor onderhoud, men dacht dat de initiele aanschaf genoeg was.
Reageer
Ulysses @Kees14 april 2025 14:33
Is er een 1,2,3 "rehabilitatie tutorial" te manifesteren denk je voor bedrijven / bedrijfjes ... die mogelijk nog actief zijn en met zulke legacy issues kampen? Zijn er kortom in algemene betermingen adviezen te verstrekken, of zijn die al inzichtelijk, gerubriceerd, per tool ergens?
Ken jij goede documentatie tot dit doel? Want er is maar een beetje boel geschreven in totaal over het onderwerp van informatieveiligheid, en hoewel ik mijn info probeer bij te punten sinds ik ooit het netwerkbeheer cert kreeg, is het ook een bomen en bos verhaal wmb...
Reageer
Kees BOFH @Ulysses14 april 2025 15:54
Het is voornamelijk een kwestie van bijhouden welke software je allemaal gebruikt en hoe goed dit word onderhouden. En nog belangrijker: als je zelf je eigen software schrijft, weet dan dat je het ook moet onderhouden en hou daar rekening mee in je budgetten en plannen.

Als een pakket meerdere jaren geen updates krijgt, of het bedrijf erachter is niet meer dan is het hoog tijd om een alternatief te gaan zoeken.

Er is geen eenvoudige handleiding te schrijven want elk stuk software is weer anders. Sommige zijn makkelijk te vervangen, maar soms kan het een traject van meerdere jaren zijn.
Reageer
Ulysses @Kees14 april 2025 16:53
Ik heb mijn vraag, inclusief jouw eerdere comments hier en de context van het artikel, voorgelegd aan Gemini 2.5 met Deep Research - dat na enkele minuten een tropisch regenwoud te hebben doen verbranden kwam met deze compacte informatie: Rapport: Advies betreffende Legacy Issues en kantoorsoftware
(Linkje is mijn NextCloud, ja, iedereen is ook vrij om het elders neer te zetten als dat meer vertrouwen wekt...)
Reageer
GarBaGe @roelboel14 april 2025 12:30
Nou, echt he.
SQL injectie, HTML injectie, plain text password storage...
Dat zijn OWASP standaard voorbeeld hoe het niet moet.
Dat kon misschien in de jaren 90 van de vorige eeuw....
Maar nu in 2025?
Reageer
jaenster @GarBaGe14 april 2025 12:32
In de USA volgen ze een stuk meer "if it aint broke dont change it", waar wij na een paar jaar denken, mwah, laten we het eens vervangen. Dat heeft voordelen, namelijk minder van dit soort issues, maar ook nadelen, namelijk dat het een stuk meer kost. Pick your poison.

Persoonlijk ben ik blij dat we iets meer modernizeren :)
Reageer
Lord Anubis @jaenster14 april 2025 14:56
Maar het kan natuurlijk ook preventief, bespaard uiteindelijk een hoop ellende, veel meer geld en aanverwant kosten zoals plat liggen van het systeem.. En zou daarom meer zien in meer Europese SW/HW producten waarbij een Europees wijd het ge reviewed wordt.
Reageer
warzone_agent @GarBaGe14 april 2025 16:10
Het is software die is geschreven in de jaren 90, dus dat klopt aardig.
Reageer
sOid 14 april 2025 13:39
Het zal een lastige keuze zijn geweest voor DIVD, maar waarom pas na 3 jaar? Uiteraard moet je een bedrijf in de gelegenheid stellen om bugs te fixen. Maar als ze na een jaar nog niet hebben gereageerd, lijkt me zo’n publicatie ook al op z’n plaats.

Wij krijgen ook af en toe CVD-meldingen binnen (ik werk voor een overheidsorganisatie) en een melder krijgt altijd binnen een paar dagen een reactie. Vaak nog dezelfde dag…
Reageer
Nystran @sOid14 april 2025 20:14
maar waarom pas na 3 jaar?
Omdat Musk net vorige maand die ene systeembeheerder aldaar ontslagen heeft? :*)
Reageer
jumbos7 14 april 2025 14:20
Het is zorgelijk dat er 3 jaar niets mee gedaan wordt, maar is het inmiddels opgepakt in de regio waar de software daadwerkelijk gebruikt wordt? Ik kan zo niets vinden dat dit het (tech)nieuws haalt in de VS en ik zie ook dat geen van de 3 CVE's al bij de CVE site zijn aangepast. Ik ben benieuwd of de gebruikers wel de ernst ervan zien.
Reageer
Dark Angel 58 14 april 2025 14:55
Waarom niet naar internet sturen, met nieuws, samen met een code. Dan gaat het overheid meteen aan het werk. Succes gegarandeerd.

Oh wacht... ik bedacht net... als ze geen oplossing willen, dan zijn ze misschien fraudeurs??? Door een bug kunnen ze een deel van het geld wegsluizen.
Reageer
Krommetenen 14 april 2025 17:11
Dit dus, wordt het wel gebruikt?
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq