De geslaagde hackaanval van afgelopen zaterdag was de tweede in een maand tijd. Ditmaal zijn de daders binnengekomen via een beveiligingsgat in een module van het CMS (content management system). Dat component was geïnstalleerd en actief, maar werd niet door DNS Belgium gebruikt.

"De module waarin het beveiligingsgat zat, werd tijdelijk uitgeschakeld op de servers. Intussen is beslist om deze module niet langer te gebruiken (omdat wij deze eenvoudig weg niet eens nodig hebben/hadden) en werd ze ook van alle webservers verwijderd", zegt algemeen directeur Philip du Bois tegen Webwereld.

0-day gat

De gehackte non-profitorganisatie laat niet los welk CMS het betreft. Het "is een custom made, niet-open source CMS dat door een Belgische software firma werd gemaakt, en waar vele grotere bedrijven in België gebruik van maken", antwoordt Du Bois op vragen van Webwereld. "Het gaat om een recente versie maar het lek waarvan dit weekend gebruik werd gemaakt was onbekend voor de leverancier."

De directeur van DNS Belgium vertelt ook dat het gebruikte CMS wél uptodate was. Dit lijkt in tegenstelling tot de mededeling van DNS Belgium zelf dat het de komende dagen "de laatste nieuwe patches van het Content Management System" gaat testen en uitrollen. Du Bois: "We draaiden een up-to-date versie van het CMS. Ook alle patches die nodig waren om het lek van twee weken geleden te dichten, waren geinstalleerd."

Malware inside

Na de meest recente inbraak heeft DNS Belgium ook malafide software aangetroffen op zijn webservers. Dat was malware waarmee de hackers de defacement van de DNS.BE-website hebben uitgevoerd. "Deze malafide software (de term malware is niet echt correct) werd niet “aangeboden” aan het grote publiek en het was dus niet de bedoeling om files of computers van bezoekers te infecteren."

Wel heeft die malware de Belgische tegenhanger van SIDN ertoe gedwongen om zijn webservers volledig te herinstalleren, vervolgt Du Bois. Verder gaat de organisatie nu nieuwe veiligheidsmaatregelen doorvoeren. "Zonder te veel informatie vrij te geven, zodat we onze veiligheid niet nodeloos in het gedrang brengen, gaan we vooral veel mogelijke dynamische toepassingen sluiten, het CMS quasi read-only maken."

Regelmatig pentesten

"Daarnaast gaan we zelf regelmatig penetration scans runnen om toch pro-actief nog bepaalde inbraaklekken op het spoor te komen. Eveneens wordt een monitoring tool geïnstalleerd die alle wijzigingen in het CMS zal aangeven via SMS en e-mail alerts."

Die maatregelen zijn nodig omdat DNS Belgium 'in trek' is bij hackers. De succesvolle aanval van begin juli is langs andere weg uitgevoerd, maar "er waren wel raakpunten wat betreft de werkwijze van beide partijen om de lekken op te sporen", zegt Du Bois. Na die eerdere aanval is het CMS wel gepatched. "De manier waarop de hackers zich toegang verschaft hebben tot de website was dus niet dezelfde."