
Google’s Zero-Day Rapport 2024 onthult blinde vlekken in de beveiliging van ondernemingen
Het nieuwste rapport van Google, Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis, onthult een verontrustende realiteit: hackers verschuiven hun focus naar de infrastructuur die uw meest gevoelige bedrijfsgegevens verwerkt. Gepubliceerd op 29 april 2025 door Google’s Threat Intelligence Group (GTIG), volgde de analyse 75 zero-day kwetsbaarheden die in 2024 werden uitgebuit. Bijna de helft was gericht op bedrijfssystemen—een dramatische verandering ten opzichte van voorgaande jaren, toen browsers en telefoons het dreigingslandschap domineerden
Wat Google’s Zero-Day Rapport Echt Vond
Zero-day kwetsbaarheden zijn softwarefouten die aanvallers misbruiken voordat leveranciers ze kunnen patchen. De Threat Intelligence Group van Google volgt deze exploits jaarlijks, waarbij ze eigen onderzoek combineren met datalekonderzoeken en betrouwbare rapportages van derden. Hun analyse van 2024 laat zowel vooruitgang als nieuwe uitdagingen in cyberbeveiliging zien.
De ruwe cijfers vertellen een deel van het verhaal: 75 zero-days in 2024, een daling ten opzichte van 98 in 2023 maar een stijging ten opzichte van 63 in 2022. Nog onthullender is waar deze aanvallen plaatsvonden. Bedrijfstechnologieën kregen 33 van deze exploits te verduren—44% van het totaal—vergeleken met 37% het jaar ervoor. Binnen bedrijfssystemen kregen beveiligings- en netwerkproducten het zwaarst te verduren, goed voor 20 kwetsbaarheden, of meer dan 60% van alle zero-days gericht op bedrijven.
Misschien wel het meest opvallend: 18 verschillende leveranciers van bedrijfssystemen werden getroffen, wat bijna alle leveranciers vertegenwoordigt die in 2024 door zero-days zijn geraakt. Traditionele doelwitten zoals browsers en mobiele apparaten zagen aanzienlijke dalingen—browserexploits daalden van 17 naar 11, terwijl mobiel daalde van 17 naar 9.
Waarom Bestandsoverdracht- en Beveiligingstools Hoofddoelen Werden
Het rapport benoemt specifieke redenen waarom aanvallers zich op bedrijfsinfrastructuur zijn gaan richten. Beveiligingsapparaten, VPN’s en beheerde bestandsoverdracht (MFT) platforms bieden aanvallers unieke voordelen:
Single-Point Compromise: In tegenstelling tot consumententoestellen die vaak complexe exploitketens vereisen, kunnen veel bedrijfssystemen volledig worden gecompromitteerd met slechts één kwetsbaarheid. Het rapport merkt op dat deze producten vaak niet de gelaagde verdediging hebben die moderne browsers en besturingssystemen wel bieden.
Bevoorrechte Toegang: Deze systemen draaien doorgaans met beheerdersrechten en zijn verbonden met meerdere netwerksegmenten, waardoor snelle laterale beweging na een initiële inbraak mogelijk is.
Beperkte Monitoring: Een kritisch inzicht—veel beveiligings- en netwerkapparaten werken buiten het bereik van endpoint detection and response (EDR) tools, waardoor zichtbaarheidsgaten ontstaan die aanvallers uitbuiten.
Waardevolle Gegevens: Systemen voor bestandsoverdracht, mailservers en samenwerkingsplatforms verwerken routinematig gereguleerde gegevens, waaronder financiële gegevens, gezondheidsinformatie en intellectueel eigendom.
Kritieke Kwetsbaarheden die Naleving Bedreigen
Meerdere exploits uit 2024 hebben directe gevolgen voor organisaties die onderworpen zijn aan regelgeving op het gebied van gegevensbescherming, zoals GDPR, HIPAA en CMMC 2.0:
CVE-2024-55956 (Cleo MFT Platform): Een vermoedelijk FIN11-cluster misbruikte deze kwetsbaarheid voor afpersing door gegevensdiefstal. Het rapport benadrukt dat dit het “derde jaar van de afgelopen vier (2021, 2023 en 2024)” is waarin FIN11 of gelieerde groepen bestandsoverdrachtproducten aanvallen—een hardnekkige focus op deze systemen.
Cross-Site Scripting (XSS) Aanvallen: Zes XSS-kwetsbaarheden waren gericht op diverse producten, waaronder mailservers en bedrijfssoftware. Deze maken ongeautoriseerde scriptexecutie en potentiële data-exfiltratie mogelijk, wat duidelijke compliance-risico’s oplevert.
WebKit Cookie Collection: Het rapport beschrijft een complexe aanval waarbij kwaadaardige JavaScript op een Oekraïense overheidswebsite browsercookies verzamelde. De aanvallers waren specifiek uit op toegang tot login.microsoftonline.com-gegevens, met mogelijk risico op compromittering van Microsoft 365-diensten zoals Outlook en SharePoint.
Command Injection-kwetsbaarheden: Acht command injection-fouten werden gevonden die “vrijwel uitsluitend gericht waren op netwerk- en beveiligingssoftware en -apparaten”, aldus het rapport. Hiermee kunnen aanvallers willekeurige commando’s uitvoeren met systeemrechten.
De Detectiekloof: Waar Traditionele Beveiliging Tekortschiet
De analyse van Google benadrukt een fundamenteel probleem: de systemen die uw meest gevoelige gegevens verwerken, hebben vaak de minste zichtbaarheid. Het rapport stelt expliciet dat “endpoint detection and response (EDR) tools meestal niet zijn uitgerust om op deze producten te werken.”
Dit zorgt voor een reeks beveiligingsuitdagingen:
- Beveiligingsteams missen realtime inzicht in bestandsoverdrachten en inhoudsuitwisselingen
- Detectie van gedragsafwijkingen wordt onmogelijk zonder goede logs
- Incidentrespons wordt belemmerd door onvoldoende forensische gegevens
- Compliance-audits missen noodzakelijke documentatie
Het rapport merkt op dat deze blinde vlekken bijzonder gevaarlijk zijn omdat getroffen systemen “zelfstandig remote code execution of privilege escalation kunnen bereiken” zonder de complexe exploitketens die doorgaans nodig zijn bij eindgebruikersapparaten.
Opvallende Aanvallen uit het Rapport
Het begrijpen van specifieke exploits helpt om het veranderende dreigingslandschap te illustreren:
De Oekraïense Overheidswebsite-aanval: GTIG-onderzoekers ontdekten kwaadaardige JavaScript die was geïnjecteerd in de Contact Form 7-pluginbestanden op een Oekraïense diplomatieke website. Dit was geen kwetsbaarheid in de WordPress-plugin zelf, maar een gerichte aanval die cookies van bezoekers verzamelde. De code was specifiek gericht op MacOS-gebruikers met Intel-hardware, wat wijst op een hoge mate van complexiteit.
CIGAR Group’s Dubbele Exploits: Het rapport beschrijft hoe de CIGAR-groep (ook bekend als RomCom) CVE-2024-9680 (een Firefox-kwetsbaarheid) combineerde met CVE-2024-49039 (een Windows privilege escalation-fout). Deze groep voert zowel financiële criminaliteit als vermoedelijke Russische overheids-spionage uit, en benadrukt hoe zero-days meerdere doelen van dreigingsactoren dienen.
Noord-Koreaanse Innovatie: Voor het eerst evenaarden Noord-Koreaanse actoren China-gesteunde groepen met vijf toegeschreven zero-days. Het rapport merkt op dat deze actoren “traditionele spionageactiviteiten combineren met pogingen om het regime te financieren”, door gebruik te maken van geavanceerde technieken zoals kwaadaardige advertenties die zero-click-executie veroorzaken.
Weerbaarheid Opbouwen Tegen Moderne Zero-Day Bedreigingen
Op basis van de bevindingen uit het rapport hebben organisaties meerlaagse verdediging nodig die specifiek gericht is op kwetsbaarheden in bedrijfsinfrastructuur:
Breid Beveiligingsmonitoring Uit: Integreer MFT, SFTP en beveiligingsapparaten in uw SIEM en security operations workflows. Het rapport benadrukt dat deze systemen dezelfde aandacht verdienen als traditionele endpoints.
Implementeer Zero-Trust Architectuur: Pas least-privilege-principes toe op alle bestandsoverdracht en inhoudsbewegingen. Ga uit van compromittering en verifieer elke transactie, vooral voor systemen met beheerdersrechten.
Geef Prioriteit aan Veilige Ontwikkeling: Het rapport benoemt dat command injection, XSS en use-after-free bugs—allemaal te voorkomen door veilig coderen—de exploits van 2024 domineerden. Regelmatige code reviews en moderne ontwikkelpraktijken zijn essentieel.
Evalueer Leveranciersbeveiliging: Met 18 getroffen leveranciers van bedrijfssystemen, beoordeel hoe snel uw leveranciers reageren op kwetsbaarheden. Het rapport merkt op dat “patches aantonen dat deze beveiligingslekken in de eerste plaats voorkomen hadden kunnen worden.”
Overweeg Geïntegreerde Platforms: Oplossingen zoals Kiteworks Private Data Network, die e-mail, bestandsoverdracht en API-beveiliging samenbrengen, kunnen de complexiteit verminderen en het inzicht vergroten ten opzichte van het beheren van meerdere point solutions.
Wat Betekent Dit voor Uw Beveiligingsstrategie
Het rapport van Google geeft een duidelijke boodschap: de infrastructuur die u gebruikt om gevoelige gegevens uit te wisselen is een primair aanvalspunt geworden. Met 44% van de zero-days gericht op bedrijfssystemen en meer dan 60% daarvan op beveiligings- en netwerkproducten, moeten traditionele beveiligingsmodellen worden aangepast.
Belangrijkste inzichten voor beveiligingsleiders:
- Attributie Blijft Moeilijk: GTIG kon slechts 34 van de 75 kwetsbaarheden aan specifieke actoren toeschrijven, wat ons eraan herinnert dat veel aanvallen niet worden toegeschreven.
- Verbeteringen bij Leveranciers Werken: Exploits op browsers en mobiele apparaten zijn aanzienlijk afgenomen, wat aantoont dat investeringen in beveiliging op deze gebieden hun vruchten afwerpen.
- Nieuwe Leveranciers Lopen Meer Risico: Het rapport merkt op dat kleinere leveranciers van bedrijfssystemen mogelijk niet over de middelen en ervaring beschikken van “big tech”-bedrijven bij het aanpakken van zero-days.
- Volharding Loont voor Aanvallers: Groepen als FIN11 richten zich herhaaldelijk op dezelfde soorten infrastructuur, wat suggereert dat ze betrouwbare aanvalspaden hebben gevonden.
Voor organisaties die gereguleerde gegevens verwerken onder PCI DSS, HIPAA, GDPR of CMMC-vereisten, vragen deze bevindingen om directe aandacht. De systemen die uw meest gevoelige informatie verwerken—bestandsoverdracht, e-mail, webformulieren—kunnen niet langer als passieve infrastructuur worden gezien. Het zijn actieve strijdtonelen die een allesomvattende beveiligingsstrategie vereisen.
Veelgestelde Vragen
De Threat Intelligence Group van Google identificeerde 75 zero-day kwetsbaarheden die in 2024 in het wild werden uitgebuit, waarvan 33 gericht waren op bedrijfstechnologieën.
Beveiligings- en netwerkproducten liepen het grootste risico, met 20 zero-days—meer dan 60% van alle kwetsbaarheden gericht op bedrijven. Systemen voor bestandsoverdracht, VPN’s en beveiligingsapparaten waren bijzonder doelwit.
Bedrijfssystemen vereisen vaak slechts één kwetsbaarheid voor volledige compromittering, draaien met hoge privileges, verwerken waardevolle gegevens en missen vaak EDR-monitoring—waardoor ze efficiënte doelwitten zijn.
Breid beveiligingsmonitoring uit naar alle systemen voor gegevensuitwisseling, implementeer zero-trust-principes, zorg voor veilige codeerpraktijken, evalueer de responsiviteit van leveranciers op kwetsbaarheden en overweeg geïntegreerde beveiligingsplatforms voor beter inzicht.
Het rapport merkt specifiek op dat EDR-tools doorgaans geen beveiligings- en netwerkapparaten kunnen monitoren, waardoor gevaarlijke blinde vlekken ontstaan die aanvullende beveiligingsmaatregelen vereisen.