Het Nationaal Cyber Security Centrum (NCSC) is het centrale punt waar organisaties de meest recente informatie op het gebied van cybersecurity kunnen vinden. Dit is onderdeel van het beveiligingsframework dat is opgezet met de NIS2-richtlijn. En het NCSC sloeg maandag hoog alarm: een beveiligingsfout in Adobe Acrobat met een CVSS-score van 9.6 moest zo snel mogelijk gepatcht worden. Maar wat betekent dat?
CVSS staat voor Common Vulnerability Scoring System, of in gewoon Nederlands: Algemeen scoresysteem voor kwetsbaarheden. Het is onderdeel van het Common Vulnerabilities and Exposures (algemene kwetsbaarheden en blootstellingen) register, een globale database met veiligheidsdreigingen die gebruikt wordt om snel informatie over kwetsbaarheden en de patches daarvoor de verspreiden. De CVSS-score is een schaal van 0 tot 10 die van een nieuw gevonden kwetsbaarheid bepaalt hoe groot het risico op schade is. Een score van 9.6 is buitengewoon hoog. De gemiddelde CVSS-score van dreigingen in de CVE-database is ongeveer 7.5.
De CVSS-score bestaat uit verschillende factoren die samen kwantificeren wat het risico is van een kwetsbaarheid, op een schaal van 1 tot 10. Deze factoren zijn opgedeeld in drie categorieën, die grofweg neerkomen op hoe makkelijk de kwetsbaarheid te misbruiken is, op welke schaal deze kwetsbaarheid schade kan aanrichten aan de aangevallen systemen, en op welke schaal een aanval ook impact kan hebben op systemen die zich benedenstrooms van de aangevallen systemen bevinden.
De CVE-melding kwam met een code: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H. Het komt enigszins Byzantijns over, maar het legt precies uit hoe de score tot stand is gekomen. De code bestaat uit de volgende elementen:
- CVSS:3.1: Dit betekent dat de score is gebaseerd op versie 3.1 van het CVSS-protocol.
- AV:N: Attack Vector (aanvalsvecrtor) is over het netwerk. Dit betekent dat een aanval op deze kwetsbaarheid via het internet kan worden uitgevoerd. Dit in tegenstelling tot een aanval waarbij men bijvoorbeeld toegang moet hebben tot een lokaal netwerk of een fysiek apparaat.
- AC:L Attack Complexity (complexiteit van de aanval) is laag, en dus zonder veel technische kennis uit te voeren.
- PR:N: Privileges Required (vereiste privileges), geen. Dit betekent dat er geen inloggegevens nodig zijn om de aanval uit te voeren.
- UI:R: User interaction (interactie van gebruikers) is nodig. Om de aanval succesvol uit te voeren moet een gebruiker van het systeem bepaalde handelingen verrichten.
- S:C: Scope (schaal) is veranderd. Dit houdt in dat een succesvolle aanval met deze kwetsbaarheid ook schade kan aanrichten buiten het eerste aanvalspunt.
- C:H: Confidentiality (vertrouwbaarheid), de schade die op dit gebied kan worden aangericht met deze aanval his hoog.
- I:H: Integrity (integriteit), de schade die met deze aanval op de integriteit van een systeem kan worden aangericht is hoog.
- A:H: Availability (beschikbaarheid), de dreiging hier is hoog. Dit betekent dat systeemeigenaren via deze kwetsbaarheid volledig van hun systeem buitengesloten kunnen worden.
De CVSS-score van deze specifieke kwetsbaarheid is hoog, omdat het op vrijwel alle factoren maximaal scoort. De enige factor waarop het punten verliest, is het feit dat gebruikers van het systeem nog steeds bepaalde acties moeten uitvoeren om een aanval op deze kwetsbaarheid te laten slagen. In het geval van deze kwetsbaarheid moet de gebruiker eerst een Pdf-bestand waarin schadelijke code is verstopt openen.
Gevaar
De hoge score toont niet het hele beeld van het gevaar van deze specifieke kwetsbaarheid. Het venijn zit vooral in de tweede factor, de complexiteit van de aanval. Een hoge score betekent dat de hoeveelheid technische kennis en middelen die nodig zijn om met deze specifieke kwetsbaarheid schade aan te leggen relatief laag is. Daar komt nog bij dat informatie over hoe deze aanval uit te voeren is zich inmiddels over het internet verspreid heeft. Daarom is het risico op grootschalig misbruik van deze kwetsbaarheid zeer hoog.
Maar er is nog een factor die het gevaar van deze kwetsbaarheid aantoont die niet is meegewogen in de CVSS-score: Adobe Acrobat is wereldwijd een van de meest gebruikte softwareproducten, voor zowel privaat als commercieel gebruik. Het wordt op veel systemen zelfs standaard meegeleverd. Ook dit kan ertoe leiden dat met deze kwetsbaarheid zeer veel schade kan worden aangericht. Daarom zet het NCSC bij deze melding hoog in op de zichtbaarheid.
Waakzaam
Er zijn in het verleden een aantal CVE-geregistreerde kwetsbaarheden geweest met een score van 10. Deze kwamen minder breed in het nieuws, omdat de software die bij deze kwetsbaarheden betrokken waren minder breed in gebruik was. De software die bij deze kwetsbaarheid betrokken is, is daarentegen op vrijwel elke computer geïnstalleerd. Het is daarom belangrijk om breed aan de bel te trekken, niet alleen om te waarschuwen voor het gevaar van de kwetsbaarheid maar ook om mensen te wijzen op de update die deze verhelpt.
Sinds 1 januari is het NCSC dankzij de fusie met het Digital Trust Center hét centrale doorgeefluik voor vitale informatie over cyberveiligheid, bij kwetsbaarheden zoals deze of storingen als de CrowdStrike-storing die in 2024 wereldwijd netwerken platlegde. Deze verantwoordelijkheid is vastgelegd in de Cyberbeveiligingswet, de wet die in Nederland uitvoering geeft aan de NIS2-richtlijn. Hiermee draagt de Nederlandse overheid bij aan de digitale veiligheid van burgers en bedrijven, ook bij een grootschalige kwetsbaarheid als deze.