Een onderzoek van het bedrijf DongIT naar het gebruik van websystemen door gemeenten levert de schokkende conclusie op dat 24 procent van alle aangetroffen websystemen kwetsbaarheden bevat “met hoge of kritieke impact". Volgens DongIT kan de veelal verouderde software relatief eenvoudig misbruikt worden door kwaadwillenden.

“Wanneer het aantal up-to-date of niet kwetsbare systemen wordt afgezet tegen het aantal systemen met een kritische en hoge impact rating kan niet anders geconcludeerd worden dan dat ruim een jaar na alle ophef door Lektober nog steeds veel te veel oude software in gebruik is", concludeert het rapport. “Bij een aantal softwarepakketten zoals Drupal, Joomla, phpMyAdmin, Apache en PHP zijn zelfs (bijna) alleen kwetsbare softwareversies aangetroffen."

Rapport eerder al naar VNG

Het rapport was in conceptversie al eerder deze maand beschikbaar gesteld aan de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten. Die heeft na beoordeling van het rapport de betrokken lekkende gemeenten gewaarschuwd. Daar blijft het verder bij, zegt Sonja Kok, woordvoerder van IBD. “Gemeenten hebben zelf de verantwoordelijkheid voor hun informatiebeveiliging. Wij kunnen alleen maar adviseren."

Uit ontvangen reacties van gemeenten zegt Kok wel op te maken dat er serieus naar het probleem wordt gekeken. Buiten een gevraagde terugmelding van de gemeenten eist IBD verder geen andere terugkoppeling, zoals een melding dat het probleem is opgelost of andere maatregelen die gemeenten nemen naar aanleiding van het rapport. IBD werkt in deze zaak wel samen met het Nationaal Cyber Security Centrum (NCSC).

Van afstand gemeenten gescand

DongIT heeft via een programmaatje, geschreven in Pythonscript, op afstand gemeenten gescand en http-verzoeken gedaan naar poorten waarop een webserver luistert. Het hele proces en de gebruikte technieken worden nauwgezet en stap-voor-stap beschreven in het rapport. Gemeenten worden niet bij naam genoemd, maar het IBD kreeg daarover wel de beschikking.

Opvallend is dat verschillende gemeenten nog werken met webapplicatieversies die niet meer worden ondersteund. Dat zijn 11 gemeenten met een lage versie van TYPO3 en 11 gemeenten met niet meer ondersteunde Joomla-versies. Bij gemeenten met Drupal gebruikten 6 een versie die zeer kritieke gaten bevatte en 16 gemeenten met kritieke gaten. Onder de gebruikers van phpMyAdmin waren er 51 die versies hadden met kritieke gaten. Van de 87 gebruikers van phpMyAdmin hadden er slechts 14 geen kwetsbaarheden.

703 maal oude Apache

Bij gebruikers van webservices hadden 14 gemeenten een versie van Apache die niet meer wordt ondersteund. Achttien gemeenten hadden een versie met kritieke gaten. Liefst 703 maal is er een versie van Apache gevonden die een hoog risico loopt om gehackt te worden. De oudste in gebruik zijnde versie van Apache is 1.3.36 terwijl we nu op 2.2.9 zitten. Een niet meer ondersteunde versie van Apache Tomcat is 19 maal tegengekomen.

Een ander zorgenkind is ASP.NET, waarvan 58 kritieke versies werden aangetroffen. Van de gevonden PHP-versies blijkt 59 procent (308 stuks) niet meer ondersteund. Nog eens 36 procent vertoont kritieke gaten. Eenzelfde beeld gaf het gebruik van MySQL.