'Via SNMP-lek was grote isp lam te leggen'

Het op afstand uitlezen en aanpassen van ict-configuratiedata heeft ook een grote Nederlandse isp geraakt. Routers van de provider én systemen van klanten waren lek.

Vanmorgen is aan het licht gekomen dat 13.656 ip-adressen in Nederland metadata over ict-systemen lekken via beheerprotocol SNMP. Bij een deel van die ip-adressen is de configuratiedata ook aan te passen. De scan naar openstaande SNMP-poorten voor Nederlandse ip-adressen is in juli en augustus dit jaar uitgevoerd door securitybedrijf ITSX. Daarbij is volgens de onderzoeker ruim de helft van de Nederlandse 48 miljoen ip-adressen gescand.

Provider plus klanten
Het aantal organisaties waarvan de ict-systemen daadwerkelijk via SNMP zijn te manipuleren, komt neer op 2294 stuks. Directeur Ralph Moonen vertelt Webwereld nu dat daarbij ook een grote Nederlandse internetprovider is aangetroffen. Daar stond SNMP open, ook wat schrijven betreft, voor bijna 200 ip-adressen. Moonen spreekt van "Cisco-routers".

De 200 adressen zijn via de WHOIS-database van RIPE teruggevoerd naar de isp. Dit wil niet zeggen dat 200 systemen van die isp zelf kwetsbaar waren. De bewuste ip-adressen kunnen ook behoren aan systemen van klanten van die provider. Moonen legt uit dat de adressen weliswaar op naam van de isp staan, maar dat die vervolgens toegekend kunnen zijn aan klanten. Waaronder ook weer bedrijven.

40 stuks van de isp zelf
De bewuste isp is "enkele weken terug" direct ingelicht door ITSX. Het Nationaal Cyber Security Centrum (NCSC) is ook van de scanresultaten op de hoogte gebracht en heeft gisteren getroffen organisaties ingelicht. De lekkende isp, waarvan Moonen de naam niet wil onthullen, heeft het gat "vrij snel gedicht".

Tenminste, voor zover het zijn eigen systemen betreft. De lekke ip-adressen van klanten dienen door die beheerders aangepakt te worden. Moonen heeft tijdens de scan gededuceerd dat in ieder geval 40 van de 200 ip-adressen toebehoren aan de provider zelf, vertelt hij aan Webwereld.

De ITSX-directeur was begin deze middag onderweg naar beveiligingsbeurs InfoSec waar hij de resultaten van de scan presenteert. Het onderzoeksrapport, dat Webwereld al in handen heeft, wordt daar nu vrijgegeven. Over de verwarring tussen 13.656 ip-adressen en bedrijven stelt Moonen dat "die nuance is weggevallen in de Volkskrant", die het nieuws vanmorgen als eerste bracht.

Wel/niet illegaal
Ondertussen woedt er online een flinke discussie over de legitimiteit van de SNMP-scan. Onder meer landelijk officier van Justitie voor cybercrime, Lodewijk van Zwieten, laat zich hierover uit. Hij meent dat de scan mogelijk juridisch als inbreken gezien kan worden.

De daarmee vergaarde informatie kan namelijk dienen als opstap voor een daadwerkelijke cyberinbraak, redeneert de cybercrimebestrijder. Jurist Jan-Jaap Oerlemans van securitybedrijf Fox-IT vindt dat nogal vergezocht, omdat de scan zelf immers geen binnendringing is.

Voorzichtig gescand
ITSX-directeur Moonen vertelt Webwereld dat er vantevoren juridisch advies is ingewonnen. "We zijn redelijk voorzichtig geweest." Bij de scan is slechts passief gekeken óf SNMP draait. Daarbij is ITSX goed onder de radar gebleven. "We hebben één abuse-melding gekregen", weet hij te vertellen, "Tegen het einde van de scan".

Moonen legt uit dat SNMP op twee manieren valt aan te spreken: via 'public' of 'private'. Laatstgenoemde kan de mogelijkheid geven SNMP-data te wijzigen, "zoals het aanpassen en omleiden van isp-verkeer". Dat laatste maakt dan man-in-the-middle aanvallen mogelijk, zoals bijvoorbeeld is gedaan door de cybercrimebende achter de beruchte DNS Changer-malware.

Publiek versus privé
ITSX heeft eerst alleen via 'public' gevraagd of SNMP toegankelijk is. Indien dat het geval was, is er vervolgens gecheckt via 'private'. Als dat ook een positief resultaat opleverde, heeft ITSX geconcludeerd dat er SNMP-data is te wijzigen. "Daarbij hebben we de aanname gedaan dat je dan kunt schrijven. Dat blijkt zo te zijn in onze eigen testomgeving." Het daadwerkelijke aanpassen is niet gedaan omdat daarmee zeker een strafbaar feit zou zijn gepleegd.