40% van de assets was onbekend

Een Europees energiebedrijf had geen idee dat 40% van hun internetgerichte assets onzichtbaar waren voor hun IT-team. Dit is wat Discovero vond — en wat had kunnen gebeuren.

Boek Uw assessment

De uitdaging

Waarmee wij te maken hadden

Een middelgroot Europees energiebedrijf schakelde Discovero in voor een reguliere beoordeling van het externe aanvalsoppervlak. Hun IT-team geloofde volledig zicht te hebben op hun publieke infrastructuur — ongeveer 10 internetgerichte diensten verspreid over twee domeinen.

Dat bleek niet te kloppen.

Wat Discovero vond

Beoordelingsresultaten

caseStudies.energy.metrics.

Belangrijkste bevindingen

Remote Code Execution via legacy SSH (CVSS 9.8)

Een internetgerichte server draaide een verouderde versie van OpenSSH (7.4p1), kwetsbaar voor CVE-2024-6387 (regreSSHion). Deze race condition-kwetsbaarheid maakt ongeauthenticeerde remote code execution als root mogelijk. De server was een vergeten stagingomgeving uit 2019, nog steeds verbonden met het interne netwerk.

Ongeauthenticeerd Kubernetes Dashboard (CVSS 10.0)

Een Kubernetes Dashboard was zonder authenticatie blootgesteld op poort 443. Service Account-tokens waren extraheerbaar, waarmee volledige clustertoegang werd verkregen. Via gekoppelde IAM-rollen gaf dit toegang tot cloudinfrastructuur, inclusief databases en opslag. Het dashboard was tijdens de initiële setup gedeployed met --enable-skip-login en nooit beveiligd.

Kwetsbaarheden in webapplicaties (CVSS 7.8)

Het hoofdklantenportaal bevatte een opgeslagen XSS-kwetsbaarheid via het bestandsuploadmechanisme, en de REST API had een IDOR-kwetsbaarheid waarmee gebruikersgegevens werden blootgesteld. Beide problemen bevonden zich in de productieapplicatie die externe klanten bedient.

Ontbrekende beveiligingsheaders op alle domeinen

Geen van de 16 ontdekte subdomeinen had Content-Security-Policy of Strict-Transport-Security geïmplementeerd. Gemiddelde score voor beveiligingsheaders: 7%. Meerdere servers toonden versie-informatie via X-Powered-By-headers.

De impact

Wat had kunnen gebeuren

Scenario	Geschatte impact
Ransomware-aanval (meest waarschijnlijk)	EUR 160.000 – 600.000
Datalek + AVG-boetes	EUR 500.000 – 2.000.000
Compromittering van cloudinfrastructuur	EUR 200.000 – 800.000
Discovero-beoordeling	EUR 4.900

Herstel was 20x goedkoper dan de meest conservatieve incidentschatting.

Het resultaat

Wat er is gedaan

91,3% van de webdiensten miste kritieke beveiligingsheaders — alle werden binnen 2 weken hersteld.
De legacy SSH-server werd binnen 24 uur na ontvangst van het rapport buiten gebruik gesteld.
Het Kubernetes Dashboard werd beveiligd achter een VPN met OIDC-authenticatie.
XSS- en IDOR-kwetsbaarheden werden gepatcht in de volgende sprintcyclus.
De klant stelde een kwartaalschema voor beoordelingen in om het overzicht te behouden.

Belangrijkste les

U kunt niet beschermen wat U niet kunt zien. Dit energiebedrijf had 4x meer internetgerichte diensten dan ze wisten — en een CVSS 10.0-kwetsbaarheid op een daarvan.

Wilt U weten wat er verborgen zit in
Uw aanvalsoppervlak?

Geen agents. Geen inloggegevens. Alleen Uw domein. Eerste resultaten binnen 48 uur.

Boek een gratis consultatie Bekijk prijzen