Resetlinks Salesforce en Atlassian openbaar via VirusTotal
In een opmerkelijke wending in de cybersecuritywereld is gebleken dat de oplossingen die bedrijven gebruiken om zich te beschermen, een nieuw en ernstig beveiligingslek veroorzaken. Dit is ontdekt door Erik Westhovens (foto), CEO van het cybersecuritybedrijf Ransomwared, tijdens een forensisch onderzoek naar recente phishingaanvallen. Het probleem, dat voornamelijk software van Salesforce en Atlassian treft, ontstaat doordat wachtwoord-resetlinks onbedoeld publiekelijk toegankelijk worden via de online dienst VirusTotal.
De paradox van beveiligingstools
Veel organisaties gebruiken geavanceerde e-mailscanners om inkomende berichten automatisch te controleren op gevaarlijke links. Deze scanners analyseren verdachte URL's vaak door ze te vergelijken met externe databases, zoals die van VirusTotal.
VirusTotal is een platform dat bestanden en URL's scant op virussen en malware en de resultaten deelt met de cybersecuritygemeenschap. Hoewel dit een effectieve methel lijkt voor het opsporen van bedreigingen, heeft Westhovens ontdekt dat dit proces onbedoeld leidt tot het lekken van uiterst gevoelige informatie.
Het risico schuilt in zogenaamde "magic login links" of "one-time passwords" (OTPs). Deze links bevatten unieke codes die bedoeld zijn om een gebruiker eenmalig en tijdelijk toegang te geven tot een account. Wanneer een e-mailscanner een dergelijke link automatisch doorstuurt naar de openbare database van VirusTotal, wordt deze link voor iedereen zichtbaar, inclusief cybercriminelen. In theorie kan een aanvaller deze resetlink misbruiken om direct toegang te krijgen tot vertrouwelijke bedrijfsgegevens die worden opgeslagen in cloudomgevingen zoals Salesforce.
Concrete bewijs onthuld
Het concrete bewijs voor dit beveiligingslek kwam aan het licht tijdens een project bij een klant van Essencee, een bedrijf dat gespecialiseerd is in cybersecurity en compliance. Mike Jansen, CEO van Essencee, gebruikt het Ransomwared-platform om audits uit te voeren. Tijdens deze controles bleek dat resetlinks daadwerkelijk opvraagbaar waren via publieke threat intelligence-diensten.
Westhovens' onderzoek bevestigde dat dit werd veroorzaakt door de manier waarop mailscanners links doorsturen naar de openbare API van VirusTotal. "Bedrijven vertrouwen terecht op securitytools om hun gebruikers te beschermen, maar juist de combinatie van automatisering en het delen van data met publieke diensten kan averechts uitpakken", aldus Westhovens. Hij wijst op recente hacks bij onder andere M&S, Harrods, CO-op, KLM, AirFrance, Adidas en Dior als bewijs dat cybercriminelen steeds inventiever worden. "Het is daarom van cruciaal belang dat organisaties beseffen dat ook hun eigen beveiligingsprocessen een zwakke plek kunnen vormen."
Aanbevelingen voor organisaties
De ontdekking dient als een serieuze waarschuwing: niet alleen kwetsbaarheden in software, maar ook onbewuste datalekken via beveiligingstools kunnen aanvallers een toegangspoort bieden. Organisatie die hun cyberweerbaarheid willen versterken, moeten daarom verder kijken dan alleen de aanval. Westhovens adviseert om periodieke audits uit te voeren op de werking van securitytools en de data die deze delen met externe partijen. Dit is de enige manier om de eigen verdedigingslinies kritisch te beoordelen en zwakke plekken op te sporen.
Meer over Security
Over Witold Kepinski
