De websites van twaalf gemeenten waren kwetsbaar voor een probleem waarbij de root-logingegevens van de Microsoft IIS-server waren te achterhalen. Daardoor waren in theorie onder meer DigiD-sessies te onderscheppen.
Door de kwetsbaarheden konden aanvallers eigen code uitvoeren op de website, en bijvoorbeeld DigiD-sessies onderscheppen. Dat bevestigt Logius, de organisatie die verantwoordelijk is voor onder meer DigiD. Ook zou een aanvaller door kunnen dringen naar het interne netwerk van de gemeente, denkt Erik Westhovens van Dinamiqs, dat het beveiligingsprobleem op het spoor kwam.
In totaal werden twaalf gemeenten getroffen door het beveiligingsprobleem. "Door dat lek kon iemand de volledige controle over een webserver verkrijgen", aldus woordvoerder Rick Bron van Logius. Volgens hem gaat het om een specifieke versie van een cms. "De makers van het cms hebben onderzoek laten doen door beveiligingsbedrijf Fox-IT, en daaruit blijkt dat er geen misbruik is gemaakt van het lek."
Logius en Dinamiqs willen niet kwijt welk content management systeem is getroffen, maar een bron rond het onderzoek zegt tegen Tweakers dat het gaat om Seneca Smartsite. Dat bedrijf wil desgevraagd niet bevestigen of ontkennen dat het een beveiligingsprobleem had. "Als we een beveiligingsprobleem hebben gehad, communiceren we dat met onze klanten, en niet in de openbaarheid", aldus Marco Konink van Seneca.
Onderzoekers van Dinamiqs kwamen het beveiligingsprobleem op het spoor bij een audit van een 'veelgebruikt cms-systeem', dat ook door de gemeenten bleek te worden gebruikt. Daarbij konden ze een bestand uitlezen waarin gegevens van de systeembeheerder van de Microsoft IIS server waren opgeslagen. "Waarom die gegevens in dat bestand stonden is een hele goede vraag", aldus Westhovens.
Het is onduidelijk hoe de DigiD-sessies zouden kunnen worden gekaapt: de gebruiker voert zijn gebruikersnaam en wachtwoord immers niet op de website van de gemeente in, maar wordt doorgestuurd naar een inlogformulier op Digid.nl. Mogelijk zouden de sessie-id's kunnen worden gestolen, of doelt het bedrijf op een scenario waarbij het DigiD-loginformulier wordt gespoofd. Logius en de ontdekker van het lek willen daar niet op ingaan.
Volgens Westhovens wordt het content management systeem door veel gemeenten gebruikt. "We denken de helft of zelfs meer van alle gemeenten", aldus Westhovens. Daaronder zouden ook vier van de tien grootste gemeenten zijn. Westhovens wil niet aangeven welke gemeenten dat zijn. "Dat vind ik niet netjes." Ook andere bedrijven en zorginstellingen zouden het cms gebruiken, al is niet duidelijk of die ook de kwetsbare versie gebruikten.
De bug is inmiddels gepatcht, maar heeft tussen de acht en twaalf maanden opengestaan. De scanningtool die Westhovens en zijn bedrijf gebruikten, Nikto, gaf bovendien aan dat de kwetsbaarheid al bekend was.
Eerder op woensdag schreef De Telegraaf al over het beveiligingsprobleem: volgens de krant moeten 'miljoenen DigiD-gebruikers' hun wachtwoord wijzigen. Dat lijkt mee te vallen, gezien het kleine aantal getroffen gemeenten. Westhovens van Dinamiqs noemt de berichtgeving van De Telegraaf dan ook te kort door de bocht.
Update, donderdag 11:15: Het getroffen cms blijkt Seneca SmartSite te zijn, heeft Tweakers van bronnen rond het onderzoek vernomen. Deze informatie is verwerkt in het artikel.