Nieuws
image

Duizenden webapplicaties bevatten door gekopieerde code bekende secrets

dinsdag 16 september 2025, 11:22 door Redactie, 5 reacties

Duizenden webapplicaties bevatten door gekopieerde en geforkte code zeer zwakke of bekende cryptografische secrets waar aanvallers misbruik van kunnen maken. En vaak weten softwareontwikkelaars niet dat hun applicatie risico loopt, zo waarschuwt The Shadowserver Foundation. De secrets zijn bijvoorbeeld keys, tokens en cookies waarmee er toegang tot gegevens en systemen kan worden verkregen.

Volgens The Shadowserver Foundation is de aanwezigheid van deze bekende of zwakke secrets vaak het gevolg van softwareontwikkelaars die code op het internet met een secret, bijvoorbeeld van een project op GitHub of in een handleiding, copy-pasten of forken. Daardoor belandt de gekopieerde secret ook in de applicatie van de betreffende ontwikkelaar. Aanvallers kunnen deze bekende secrets vervolgens op allerlei manieren misbruiken. Een bekende machine key maakt bijvoorbeeld remote code execution op een systeem mogelijk, zo waarschuwt Paul Mueller van Black Lantern Security.

Online scan

The Shadowserver Foundation is een stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld onderzoek doet naar kwetsbare systemen die vanaf internet toegankelijk zijn. Onlangs werd er gescand naar applicaties die gebruikmaken van bekende of zwakke cryptografische secrets van verschillende platforms/frameworks. Het gaat specifiek om bekende cookies, tokens en keys van platforms zoals PeopleSoft, Django, Telerik en ASPNET. De scan van The Shadowserver Foundation leverde ruim 12.000 ip-adressen op met "bad secrets", waarvan bijna driehonderd in Nederland. Het grootste deel werd in de Verenigde Staten aangetroffen. In het geval van een bad secret wordt aangeraden die te vervangen.

Reacties (5)
Reageer met quote
Vandaag, 11:33 door Anoniem
Ondertussen wordt er steeds harder gedramd om steeds meer digitaal te gaan doen.
What could possibly go wrong!?
Reageer met quote
Vandaag, 12:14 door Anoniem
De Cyber Resilience Act (CRA) vereist van software-ontwikkelaars dat ze veilige software opleveren. Dat betekent ook gedegen veiligheidsonderzoek doen naar de gebruikte (publieke) software bibliotheken. Niet alleen bij het eerste gebruik maar ook bij elke update van de bibliotheken. Daarbij zijn vele bibliotheken/frameworks zo omvangrijk dat het wellicht lonend is om een klein stukje van die gehele functionaliteit zelf te realiseren en onderhouden.
Reageer met quote
Vandaag, 12:19 door Anoniem
Door Anoniem: Ondertussen wordt er steeds harder gedramd om steeds meer digitaal te gaan doen.
What could possibly go wrong!?

Softwareontwikkeling wordt steeds meer het aan elkaar plakken van (publieke) bibliotheken. “Beter goed gejat dan slecht verzonnen” was vroeger het adagium. Alleen blijkt uit exploits ook steeds vaker dat de “gejatte” code (opzettelijke) achterdeurtjes bevat.

Deze afbeelding is een zeer relevante in deze! https://xkcd.com/2347/
Reageer met quote
Vandaag, 13:08 door Anoniem
Door Anoniem: Ondertussen wordt er steeds harder gedramd om steeds meer digitaal te gaan doen.
What could possibly go wrong!?
Volgens mij ben je echt beperkt in je visie, kijk eens wat er allemaal misging VOOR dat het digitale zijn intrede deed, je zult verrast zijn.
Reageer met quote
Vandaag, 13:19 door Anoniem
Door Anoniem: De Cyber Resilience Act (CRA) vereist van software-ontwikkelaars dat ze veilige software opleveren. Dat betekent ook gedegen veiligheidsonderzoek doen naar de gebruikte (publieke) software bibliotheken. Niet alleen bij het eerste gebruik maar ook bij elke update van de bibliotheken. Daarbij zijn vele bibliotheken/frameworks zo omvangrijk dat het wellicht lonend is om een klein stukje van die gehele functionaliteit zelf te realiseren en onderhouden.

Gaat niet lukken denk ik. Men downloadt de code, en denk je dan echt dat er een review plaats gaat vinden van elke regel? Als de desbetreffende ontwikkelaar al kennis heef van hoe zo'n "secret" er uit moet zien, als die al niet geobfuscaat is
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure