Een recente security advisory van MITRE bevatte links naar meer dan 20 kwetsbare IP-apparaten. De links maakten het mogelijk om de apparaten direct aan te vallen.

Securitybedrijf MITRE houdt een archief bij van kwetsbaarheden (CVE). Kwetsbaarheden worden geregistreerd als ‘security advisories’. De advisories behandelen het probleem en geven securityadvies.

In een recente advisory publiceerde MITRE links naar meer dan 20 kwetsbare IP-apparaten. Het moet een ongeluk zijn geweest, schrijft website BleepingComputer. De links maken het mogelijk om de kwetsbaarheid te misbruiken. Volgens BleepingComputer ontstond het probleem zo vroeg als april 2022.

Riskante fout

BleepingComputer ontdekte de fout na een tip van anonieme lezer. De lezer ontdekte meerdere links naar kwetsbare systemen in de ‘referenties’-sectie van een advisory.

Advisories van MITRE worden verspreid door meerdere feeds, nieuwssites en securityleveranciers. De ‘referenties’-sectie van advisories bevat meestal links naar de bron van de kwetsbaarheid, waaronder blogs en archieven. In dit geval verwezen de links naar kwetsbare systemen.

Onacceptabel

BleepingComputer nam contact op met MITRE en meerdere beveiligingsexperts om te begrijpen waar het fout ging. De experts geven aan dat het niet ongebruikelijk is om links toe te voegen aan de ‘referenties’-sectie. Links naar kwetsbare apparaten zijn daarentegen onacceptabel. MITRE had de advisory nooit moeten publiceren.

Aanvallers gebruiken openbare IoT-zoekmachines zoals Shodan of Censys om kwetsbare apparaten te vinden nadat kwetsbaarheden bekend worden gemaakt. Op een goede dag vindt de aanvaller enkele links, verspreid over het web. In dit geval stonden alle links op één locatie.

Meerdere websites, waaronder Techzine, vertrouwen op MITRE voor dreigingsinformatie. De riskante advisory werd door diverse leveranciers en blogs verspreid.

Tip: Hoe interpreteer je de resultaten van de MITRE ATT&CK evaluatie?