Spoed updates

Gebruikers van ons managed hosting platform merken het steeds vaker. Spoed updates door een nieuwe kwetsbaarheid in de software stack. Waar je dit enkele jaren geleden een paar keer per jaar zag met bijvoorbeeld heartbleed en shellshock, zie je dit nu soms meerdere keren per week.

Ergens is het fijn om te weten dat software telkens een beetje veiliger wordt. Maar waar komt dit vandaan en hoe blijf je veilig?

thumbnail voor Spoed updates

Natuurlijk zijn kwetsbaarheden in software niet nieuw. Het komt voor in de hele software stack, van kernel tot database engine. Er bestaan al complete ecosystemen om deze kwetsbaarheden bij te houden, zoals het CVE programma. Iedere kwetsbaarheid krijgt zijn eigen nummer waarmee iedereen de technische omschrijving kan inzien en hiernaar verwijzen. Aan de hand van deze database en nummering kun je ook terugzien dat er steeds meer kwetsbaarheden bekend worden. Het laat een exponentiële stijging zien.

NIST – National Vulnerability Database Juli 2026

Overigens is het te kort door de bocht om te stellen dat software meer kwetsbaarheden bevat dan vroeger. Een gedachte die niet vreemd is gezien de complexiteit van software ook enorm toeneemt. Het aantal CVE’s neemt ook toe omdat er simpelweg meer software op de markt is. En meer software betekent meer kwetsbaarheden in aantallen.

Toch ontkom je niet aan de ontwikkelingen rondom AI. Language models zijn steeds beter instaat om kwetsbaarheden te vinden in software. Ze worden dan ook massaal ingezet om (opensource) software uit te kammen. Vaak met de intentie om software veiliger te maken. Helaas ook om misbruik te kunnen maken van niet eerder ontdekte kwetsbaarheden, ook wel zero-days.

Vorige week patchten we CVE-2026-46242 (Bad Epoll) en CVE-2026-43499 (GhostLock), waarbij de laatstgenoemde kwetsbaarheid al 15 jaar aanwezig bleek in de Linux kernel. Zodra een CVE bekend is start een race om daadwerkelijk een patch te ontwikkelen voor deze kwetsbaarheid, deze te publiceren en natuurlijk door alle gebruikers te laten installeren. Parallel hieraan starten kwaadwillende een race om deze kwetsbaarheid te kunnen misbruiken en vervolgens toe te passen op iedere server, software of website die hier vatbaar voor is.

Afhankelijk van de kwetsbaarheid is snelheid geboden. CVE-2026-43499 (GhostLock) maakte het mogelijk om een aanvaller roottoegang te geven op servers. Ofwel: alle rechten tot alle data. Om kwaadwillenden geen misbruik hiervan te laten maken moeten systemen worden beschermd. Maar er zijn ook genoeg CVE’s waarbij de kwetsbaarheid niet altijd kan worden misbruikt. Bijvoorbeeld omdat die delen van de software niet in gebruik zijn of zo geïsoleerd zijn dat de kans op misbruik gering is.

In basis worden alle managed servers van onze gebruikers dagelijks gepatched. Voor veel onderdelen in de software stack merk je dit niet. Misschien een enkele seconde tijdens een herstart. En we plannen dit voor Nederlandse bedrijven uiteraard in de nacht. Er zijn echter onderdelen in je software stack waarbij je updates wel zult merken. Denk bijvoorbeeld aan de onderliggende Linux kernel. Hiervoor is zelfs een reboot vereist. Nog steeds geen ramp daar dit in de praktijk alsnog maar een onderbreking is van ongeveer 20 a 60 seconden. Maar je merkt het wel en daarom kondigen we dit vooraf aan. Om te voorkomen dat dit bij iedere patch nodig is passen we triage toe.

Dagelijks analyseren onze engineers de nieuw uitgekomen CVE’s en beoordelen deze langs twee maatstaven. Middels CVSS (Common Vulnerability Scoring System) beoordelen ze de mogelijke impact van de kwetsbaarheid. Daarnaast passen we EPSS (Exploit Prediction Scoring System) toe: Hoe waarschijnlijk is het dat deze kwetsbaarheid gaat worden misbruikt. Een lagere impact van een kwetsbaarheid, maar een hogere kans op misbruik heeft gevolgen voor de prioriteit. Zo loopt een database backend die niet van buitenaf bereikbaar is minder risico dan een webapplicatie die publiekelijk bereikbaar is. Met deze weging volgt de beslissing of patches automatisch mee gaan in de nacht, dat we per direct (primetime) moeten patchen of dat we de patch kunnen verzamelen om de (beperkte) hinder van een reboot te clusteren.

Steeds vaker zien we nu patches die per direct moeten worden toegepast. Dankzij ons managed hosting platform verloopt dit soepel en snel. De software provisioning weet precies van elke de server de software stack en configuratie. Hierdoor zijn er geen verassingen van unieke setups die opeens ander gedrag gaan vertonen. Het is veilig om dit proces continu te laten doorlopen.

Op ons platform zijn alle servers managed. Organisaties die elders unmanaged servers afnemen zijn zelfverantwoordelijk voor dit proces. Zoals boven omschreven is dit een dagelijks proces. Voor een kleine organisatie is dit wellicht minder intensief vanwege een kleinere hoeveelheid servers, maar misschien ook weer intensiever omdat er geen geautomatiseerde software provisioning is. Managed hosting is met deze steeds intensievere taak in de praktijk vaak voordeliger dan unmanaged. Vooral nu de aansprakelijkheid voor organisaties concreter worden met de implementatie van NIS2. Maar misschien zelfs belangrijker: managed hosting zorgt voor (nacht)rust.