Hacker dwingt lekke KPN-server offline

Een hacker heeft zeer ernstige lekken gevonden in een server van KPN, waarmee verschillende databases van klanten werden beheerd. De server is tijdelijk offline gehaald.

De zwakheden werden bij toeval ontdekt door beveiliging- en privacy-expert Ilias el Matani, die het lek bij Webwereld meldde. Hij kon bijvoorbeeld een configuratiebestand zien dat was aangemaakt op 24 maart 2009. Het systeem wordt gebruikt door 15.000 klanten, voornamelijk MKB-ondernemingen, voor het beheer van hun website.
Oude, lekke software

De server draait op een verouderde versie van Linux. Daarop is een Apache-server 2.0.52 ge´nstalleerd. In die versie zitten diverse ernstige zwakheden. Ook de ge´nstalleerde PHP-versie is zwaar verouderd. Het bedrijf gebruikt versie 4.4.9, waarin ook meerdere ernstige zwakheden zitten. De meest recente versie is 5.4.0.

Daarnaast wordt gebruik gemaakt van versie 2.11.9.5 van PHPMyAdmin, een tool om databases te beheersen. De meest recente versie daarvan is 3.4.10.1, waarin de bekende lekken gedicht.

Voor alle verouderde software op de server van KPN zitten veel verschillende lekken. Op een algemeen aanvaardde schaal voor de ernst scoren een aantal lekken 10.0. Dat is de maximale score.
Offline

De server doet dienst voor Webhosting Online en Domeinnaam Online, waarmee klanten hun eigen domein kunnen beheren. Zij kunnen via de server zowel hun website inrichten als het onderhoud uitvoeren aan de domeinnaam (DNS). Zo'n 15.000 klanten van KPN maken gebruik van de dienst.

Webwereld heeft de problematiek woensdag aangekaart bij KPN en het National Cyber Security Center. Hierop heeft KPN besloten de server tijdelijk offline te halen en onderzoek te verrichten. Zo moet worden onderzocht of er misbruik van de server heeft plaatsgevonden, maar vooralsnog zegt het bedrijf dat dit niet is gebeurd. Daarnaast moet de programmatuur worden bijgewerkt en moeten er aanvullende beveiligingsscans worden uitgevoerd.
Niet vergeten

KPN benadrukt dat de server niet vergeten is. Na de eerdere beveiligingsproblemen worden nu alle servers bijgewerkt. Dat is volgens de telecomgigant een grote operatie. De server met de problemen stond volgens het bedrijf voor later deze maand op de rol om te worden bijgewerkt.

Dit incident staat los van de hack op KPN-systemen die eerder bekend werd. In dat geval werd ingebroken op de systemen en op een van de machines software voor een botnet ge´nstalleerd. Ook in dat geval bleek dat programmatuur behoorlijk verouderd was.