De 0-day dump die elke BIO2-organisatie raakt: wat nu?

Incident response is niet langer een periodieke oefening. Het is je primaire verdedigingslinie. Die gedachte kwam bij me op toen ik afgelopen week een Hacker News-post met 743 punten opende en het GitHub-account bikini zag. Eén repo, exploitarium, en een constante stroom commits met exploits voor kwetsbaarheden die nog niemand kende. Geen CVE’s, geen advisories van leveranciers, geen coordinated disclosure. Gewoon: hier is de code, veel succes.

Wat opviel, was dat de exploits direct inzetbaar zijn. Geen proof-of-concepts die alleen in een lab werken, maar scripts die je met één regel kunt uitvoeren. Zo is er een exploit voor een veelgebruikte SSL-VPN-oplossing die in gemeenten overal in Nederland draait. De repo bevat een Python-script dat een specifieke versie van de beheersinterface aanpakt:

python3 cve-2026-????.py --target vpn.gemeente.nl --port 443 --cmd "id"

Geen authenticatie nodig. De payload injecteert via een ongedocumenteerde parameter in de login-pagina en geeft een root-shell terug. De enige mitigatie die het script noemt, is: “disable web interface until vendor patch.” Maar er is geen patch. De leverancier wist tot gisteren van niets.

Dit is de nieuwe realiteit. Waar we vroeger konden vertrouwen op een cyclus van melden, patchen, scannen en verifiëren, is die volgorde nu omgedraaid. Eerst komt de exploit, dan pas het besef dat er een kwetsbaarheid is. Voor organisaties met een BIO2-plicht, alle overheidslagen, zorginstellingen met een wettelijke taak, en steeds meer financiële dienstverleners, betekent dit dat de aanname “we hebben tijd om te patchen” niet langer klopt.

Wat er precies in het exploitarium staat

De repo bikini/exploitarium bevat op dit moment zeventien exploits, gericht op software die breed wordt gebruikt in de Nederlandse publieke sector. Denk aan:

• FortiOS 7.2.x en 7.4.x, een stack-based buffer overflow in de SSL-VPN component, exploiteerbaar zonder authenticatie. De exploit stuurt een speciaal HTTP-request en levert direct een rootshell.
• Apache Struts 2.5.x, een remote code execution via een onbekende OGNL-injectie in een veelgebruikte tag. De exploit is een eenvoudige curl-opdracht.
• Citrix ADC 13.x, een directory traversal die configuratiebestanden lekt, inclusief private keys en wachtwoordhashes.
• Zimbra Collaboration 9.x, een RCE na inloggen, via een XML External Entity (XXE) aanval die een reverse shell opent. Inloggen is eenvoudig, omdat dezelfde repo een credential stuffing-module voor Zimbra bevat.
• Een EPD-connector die in meerdere Nederlandse ziekenhuizen draait, de exploit gebruikt een hardcoded API-sleutel die in de client-applicatie is gevonden.

Elke exploit komt met een README die het kwetsbare versiebereik noemt, een Shodan-query om blootgestelde systemen te vinden, en een voorbeeldcommando. De auteur heeft duidelijk verstand van zaken. De code is strak, foutloos, en voorzien van commentaar in goed Engels. Het account is anoniem; de avatar is een pixel-art bikini. Meer weten we niet.

Waarom dit een BIO2-probleem is

De Baseline Informatiebeveiliging Overheid (BIO2) verplicht organisaties tot een continu proces van kwetsbaarhedenmanagement. In de praktijk betekent dat vaak een maandelijkse of wekelijkse scan met een tool als OpenVAS of Nessus, gevolgd door een patchronde. Die aanpak werkt als de kwetsbaarheid eerst wordt gemeld, een CVE krijgt, en scanners een plugin krijgen. Maar wat als de exploit eerder op straat ligt dan de patch? Dan is je scan nutteloos. De signature bestaat nog niet. Je weet niet dat je kwetsbaar bent totdat het te laat is.

BIO2 eist ook dat organisaties “passende maatregelen” nemen tegen actuele dreigingen. Een massaal verspreide 0-day is zo’n dreiging. De vraag is: wat is passend? Een patch is er niet.