Gehackte routers en harde schijven bewijzen gebrekkige beveiliging van randapparatuur 

Tijdens de internationale hackwedstrijd Pwn2Own toonde zijn team kwetsbaarheden aan in een router van QNAP en in een netwerkschijf van TrueNAS waarmee aanvallers mogelijk toegang kunnen krijgen tot de data van bedrijven of consumenten die deze hardware gebruiken. Door deze kwetsbaarheden kunnen niet alleen deze bedrijven in de problemen komen, maar met het in werking treden van de Cyber Resilience Act ontstaat er ook een serieus compliance-risico voor de fabrikanten, distributeurs en importeurs van de apparaten. Het doel van de hackwedstrijd Pwn2Own, die deze week in Ierland plaatsvindt, is om onbekende kwetsbaarheden aan te tonen in software- en hardwaretoepassingen om hiermee uiteindelijk de beveiliging te verbeteren. 

Het onderzoek van het team van Computest Security richtte zich op de QNAP QHora-322 router en netwerk harde schijf TrueNAS Mini X. Bij beide werden kwetsbaarheden gevonden. Volgens de onderzoekers hadden deze kwetsbaarheden ook door de fabrikant ontdekt kunnen worden als deze een security-test op de apparaten had laten uitvoeren. “Het ontbreken van adequate beveiliging op beide devices betekent niet alleen dat cybercriminelen mogelijk direct kunnen doordringen tot het interne netwerk en daarmee toegang krijgen tot gevoelige data, maar laat ook zien dat edge devices een aantrekkelijk doelwit zijn voor hackers”, aldus Daan Keuper security-expert en ethisch hacker bij Computest Security. Hier werd ook eerder dit jaar al voor gewaarschuwd door zowel de MIVD als de AIVD. Zeker gezien het feit dat veel organisaties de beveiliging van end points – doorgaans een populaire toegangspoort naar netwerken voor ransomware-groepen – het afgelopen jaar hebben versterkt, is het volgens Keuper logisch dat cybercriminelen hun focus gaan verleggen naar andere, zwakkere punten in het netwerk. 

Strenge normen Cyber Resilience Act 

Naast de risico’s voor bedrijven die de hardware gebruiken, zijn de gevonden kwetsbaarheden ook een belangrijk signaal aan fabrikanten en verkopers van de apparatuur dat het noodzakelijk is om actie te ondernemen. Zo zijn digitale producten zoals routers en harde schijven onder de nieuwe Cyber Resilience Act die afgelopen week werd aangenomen en vanaf 2027 van kracht is, aangemerkt als kritieke onderdelen en moeten deze voldoen aan extra strenge beveiligingsnormen. Zowel fabrikanten, distributeurs en importeurs van de apparaten zijn verplicht ervoor te zorgen dat de apparaten gedurende hun hele levenscyclus veilig zijn. Als blijkt dat zij zich niet houden aan de eisen die in de wetgeving zijn vastgelegd, kunnen zij aanzienlijke boetes opgelegd krijgen. 

Edge devices meenemen in security-strategie 

Zowel leveranciers als afnemers van de producten hebben dus nog tot 2027 de tijd om zich voor te bereiden op de Cyber Resilience Act. Keuper geeft aan dat van leveranciers mag worden verwacht dat ze regelmatig security-updates uitbrengen voor de apparatuur. Verder moeten bedrijven specifiek edge devices meenemen in hun security-strategie, in kaart brengen wat de risico’s zijn en bedenken hoe deze geminimaliseerd kunnen worden. Het team van Computest Security viel tijdens de hackwedstrijd ook in de prijzen voor de vondst van de kwetsbaarheden. Het heeft een sterke reputatie bij de Pwn2Own-wedstrijden waarbij het eerder dit jaar een competitie in Japan won dankzij gevonden kwetsbaarheden in verschillende laadpalen. In 2022 wisten ze ernstige kwetsbaarheden in industriële software bloot te leggen en het jaar ervoor toonde het aan laptops over te kunnen nemen doordat Zoom kwetsbaarheden bevatte.