Van 13.656 Nederlandse ip-adressen - níet allemaal bedrijven - valt metadata van it-apparatuur uit te lezen. Bij sommige is via dit SNMP-lek ook data te wijzigen, bevestigt het NCSC.

"Een deel van die ip-adressen komt uit bij thuisgebruikers", vertelt woordvoerster Mary-Jo van de Velde van het Nationaal Cyber Security Centrum (NCSC). Zij geeft aan dat het niet gaat om 13.656 bedrijven en (overheids)instanties, wat de Volkskrant wel meldt. Het aantal betreft ip-adressen. "Sommige organisaties hebben meerdere ip-adressen", legt de woordvoerster uit.
Half Nederland gescand

Het nu onder de aandacht gebracht SNMP-lek is het resultaat van een scan die beveiligingsbedrijf ITSX heeft uitgevoerd onder ip-adressen in Nederland. De dochteronderneming van beveiligingsdienstverlener Madison Gurkha heeft naar eigen zeggen ruim de helft van de 48 miljoen Nederlandse ip-adressen gescand.

Het aantal van 13.656 SNMP-data lekkende ip-adressen komt omgerekend neer op ongeveer 0,03 procent van alle Nederlandse adressen. Uitgaande van tien tot twintig ip-adressen per organisatie, kom je dan uit op zo'n 0,01 procent. "Het lijkt dus heel veel, maar is klein", zegt Van de Velde. Zij benadrukt dat ze het lek niet wil bagatelliseren: "Elk lek is er één." In dit geval is het ook vrij eenvoudig te dichten.
Onder de radar

Dat de scan ongemerkt is gebleven, wekt de verbazing van onder meer Ronald Prins, directeur van securityspecialist Fox-IT. Zowel het NCSC als Madison Gurkha vertellen aan Webwereld dat niet vreemd is. "Zo'n scan hoeft niet heel lang te duren én hoef je ook niet sequentieel uit te voeren", legt directeur Hans van de Looy van Madison Gurkha uit.

Bovendien gaat het niet om een brede scan, die meerdere openstaande poorten afgaat en de mate waarin die open staan. De door ITSX uitgevoerde verkenning heeft alleen naar de SNMP-poort (161) gekeken, vertelt Van de Looy. En als die dan openstaat, volgt een korte check wat voor response erop wordt gegeven. "Dat valt niet zo op."

"Ik heb van Ralph Moonen [van ITSX - red.] begrepen dat niemand een abuse-melding heeft gedaan bij de isp waarlangs deze scan is uitgevoerd." Moonen, die de scan heeft verzorgd, bevindt zich momenteel in het buitenland en heeft nog niet gereageerd op vragen van Webwereld. Het Twitter-account van zijn bedrijf heeft in reactie op Ronald Prins gemeld dat er 1 abuse-melding is binnengekomen.

Het NCSC reageert dat een SNMP-scan in wezen regulier internetverkeer is. Dus deze 'aanval' is niet als zodanig door het beveiligingsorgaan van de Nederlandse overheid gedetecteerd. "Het is niet specifiek genoeg", aldus Van de Velde.
Niet allemaal hackbaar

Van de Looy vertelt dat de scan nu wel is gestopt. ITSX wil kennelijk niet alle ip-adressen in Nederland afgaan. Vervolgens is het NCSC ingelicht, en samen daarmee zijn getroffen bedrijven en organisaties geïnformeerd. Dat is gisteren gedaan, vertelt de woordvoerster van het NCSC. Zij nuanceert dat níet in alle 13.656 gevallen er sprake is van de mogelijkheid om SNMP-data te manipuleren.

"Wel zijn ze allemaal kwetsbaar voor het uitlezen van SNMP-data, wat de minst erge kwetsbaarheid is." Zij kan niet aangeven hoeveel van de kwetsbare ip-adressen ook echt via SNMP manipuleerbaar zijn, en dus rechtstreeks hackbaar. Van de Velde acht een vergelijking met de DigiNotar-affaire in ieder geval niet op zijn plaats.
Supermarkt, kledingwinkel

De Volkskrant meldt dat van de "13.656 bedrijven" alle instellingen en wachtwoorden zijn uit te lezen, maar het NCSC geeft aan dat dit slechts om ip-adressen gaat. De krant stelt ook dat "de systemen van 2294 instanties compleet zijn over te nemen of te saboteren". Van alle kwetsbare bedrijven zou ongeveer eenzesde schrijfbare SNMP-data toestaan, wat overeenkomst met de genoemde 2294 organisaties.

ITSX-directeur Moonen heeft aan de Volkskrant verteld en getoond dat hij wel degelijk bedrijven kan raken en lamleggen via dit lek. "Ik kan nu met één druk op de knop alle pinbetalingen bij de kassa's in deze supermarktketen stilleggen", claimt de beveiliger. Verder kan hij de antidiefstalpoortjes van een grote kledingketen op afstand uitschakelen, meldt de Volkskrant vandaag. "De bedrijven die je nu ziet langskomen, kan ik allemaal van internet afgooien. Sommige zouden dat financieel niet overleven."
'Routertjes'

Directeur Van de Looy van ITSX-moederbedrijf Madison Gurkha kan niet aangeven hoeveel van de kwetsbare ip-adressen van bedrijven en overheidsinstanties zijn, versus hoeveel van thuisgebruikers en zzp'ers. Hij zegt wel dat het - overigens al jaren oude - SNMP-probleem veel voorkomt bij "routertjes", waarmee hij verwijst naar consumentenapparatuur. "Tot op heden heeft bij mijn weten niemand een dergelijk groot onderzoek uitgevoerd."
Update:

Gecorrigeerd dat het om UDP-poort 161 voor beheerprotocol SNMP gaat.