DIVD-hackers ontdekken 2000 slecht geconfigureerde, publieke Mendix-installaties

In dit artikel:

Het Dutch Institute of Vulnerability Disclosure (DIVD) heeft minimaal 2.000 Mendix-omgevingen aangetroffen die verkeerd zijn geconfigureerd, waardoor gevoelige gegevens blootstonden. Het gaat om zowel cloud-hosted als on-premises applicaties die bijvoorbeeld via een publieke poort bereikbaar bleken, maar niet om softwarefouten in Mendix zelf. Volgens DIVD zijn het beheerinstellingen — vooral autorisatie en roltoewijzingen — die tekorten vertonen.

Door de onveilige configuraties konden onderzoekers uit veel systemen medische dossiers, financiële informatie en zelfs identiteitsbewijzen halen; in één buitenlandse applicatie waren bijvoorbeeld 650.000 ID-documenten toegankelijk. In sommige gevallen volstond een anoniem of nieuw aangemaakt account om grote hoeveelheden data te lezen, wat detectie van misbruik bemoeilijkt. Ook wijziging van gegevens, zoals bankrekeningnummers, bleek mogelijk.

De getroffen diensten bestrijken een breed scala: overheden en gemeenten, banken, zorginstellingen, hogescholen, e-learningplatforms, autodealers en interne bedrijfsplatformen wereldwijd. Omdat het probleem in veel verschillende implementaties terugkeert en niet in de Mendix-software zelf zit, waarschuwt DIVD alle organisaties die Mendix gebruiken dringend om hun configuraties — met name autorisatie-instellingen — direct te controleren en te verifiëren.

DIVD heeft al langs responsible-disclosurekanalen organisaties benaderd en publiceert daarnaast een algemene waarschuwing. Een van hun ethische hackers ontwikkelde een scan-tool om configuratieproblemen op te sporen; ook bestaat het hulpprogramma Menscan en verwijst DIVD naar een mitigatiepagina van Mendix voor verdere instructies. Voor organisaties betekent dit vooral snel auditen van toegangscontrole, beperken van publieke toegang en het toepassen van best practices voor identity- en accessmanagement.