One-day vulnerability

Een one-day vulnerability, ook wel n-day vulnerability genoemd, is een beveiligingslek dat al publiekelijk bekend is en waarvoor doorgaans een patch beschikbaar is gesteld. Het verschil met een zero-day is dat bij een one-day de kwetsbaarheid al ontdekt en gepubliceerd is. Toch vormen deze kwetsbaarheden een enorm risico, juist omdat veel organisaties hun systemen niet snel genoeg bijwerken. Volgens onderzoek van Flashpoint vertegenwoordigen n-day kwetsbaarheden inmiddels meer dan 80% van alle actief misbruikte beveiligingslekken die door overheden worden bijgehouden als Known Exploited Vulnerabilities.

De term 'one-day' verwijst naar het feit dat er minimaal een dag is verstreken sinds de kwetsbaarheid bekend werd gemaakt. In de praktijk kan het weken tot maanden duren voordat organisaties patches doorvoeren, een periode waarin aanvallers actief jagen op ongepatchte systemen. De gemiddelde tijd tussen publicatie van een kwetsbaarheid en het eerste misbruik is gedaald van 745 dagen in 2020 naar slechts 44 dagen in 2025, een daling van 94%. Dit maakt snel patch management urgenter dan ooit en toont aan dat het venster voor veilig patchen steeds kleiner wordt. Organisaties die hun patchtempo niet verhogen, lopen een steeds groter risico om slachtoffer te worden van aanvallen die met beschikbare patches voorkomen hadden kunnen worden.

Waarom is een one-day vulnerability belangrijk?

One-day kwetsbaarheden zijn voor aanvallers bijzonder aantrekkelijk omdat er bij publicatie vaak al proof-of-concept (PoC) exploitcode beschikbaar komt. Beveiligingsonderzoekers publiceren deze code om leveranciers en de security community te helpen bij het begrijpen en verhelpen van het probleem, maar dezelfde code wordt door kwaadwillenden gebruikt als kant-en-klaar aanvalsinstrument. Wanneer een volledig functionele exploit samen met de kwetsbaarheidspublicatie verschijnt, spreken experts van een 'turn-key' oplossing voor aanvallers die minimale technische kennis vereist om in te zetten tegen kwetsbare systemen.

Voor Nederlandse organisaties is dit risico bijzonder relevant. Het Cybersecuritybeeld Nederland 2025 benadrukt dat gebrekkige basishygiene, waaronder het niet tijdig patchen, een van de belangrijkste oorzaken blijft van succesvolle cyberaanvallen. Zowel statelijke actoren als cybercriminelen richten zich steeds vaker op bekende kwetsbaarheden in veelgebruikte software zoals VPN-appliances, firewalls en e-mailservers, juist omdat ze weten dat organisaties achterlopen met updates en deze systemen vaak direct bereikbaar zijn vanaf het internet.

Het onderscheid tussen een one-day en een zero-day is ook relevant voor je beveiligingsstrategie. Tegen zero-days is preventie lastig omdat er nog geen patch bestaat en je afhankelijk bent van detectie en generieke verdedigingsmaatregelen. Tegen one-days is preventie juist goed mogelijk: de oplossing is er al, je hoeft hem alleen tijdig toe te passen. Het feit dat zoveel aanvallen via bekende kwetsbaarheden verlopen, betekent dat een groot deel van de incidenten voorkomen had kunnen worden met een gestructureerd vulnerability management programma.

Hoe pas je one-day vulnerability kennis toe?

Effectief omgaan met one-day kwetsbaarheden begint met een gestructureerd vulnerability management proces. Dit houdt in dat je continu monitort welke kwetsbaarheden worden gepubliceerd, beoordeelt welke relevant zijn voor je specifieke omgeving, en patches prioriteert op basis van ernst en exploiteerbaarheid. Gebruik hiervoor bronnen zoals het NCSC, CISA's Known Exploited Vulnerabilities (KEV) catalogus, leveranciersadviezen, CVE-databases en threat intelligence feeds die melden wanneer een kwetsbaarheid actief wordt misbruikt.

Stel een patchbeleid op met duidelijke tijdslijnen die je consequent handhaaft. Kritieke kwetsbaarheden die actief worden misbruikt verdienen patching binnen 24-48 uur. Hoge kwetsbaarheden binnen een week, en middelmatige binnen een maand. Automatiseer waar mogelijk het patchproces via tools voor patch management en zorg voor een testomgeving om patches te valideren voordat je ze uitrolt naar productie. Dit voorkomt dat een patch zelf problemen veroorzaakt in je productieomgeving terwijl het de uitrolsnelheid verhoogt.

Voor systemen die je niet direct kunt patchen, bijvoorbeeld vanwege afhankelijkheden, operationele beperkingen of legacy-systemen, implementeer je compenserende maatregelen. Denk aan netwerksegmentatie om het kwetsbare systeem te isoleren, stricter toegangsbeheer om de blootstelling te verkleinen, extra monitoring om misbruikpogingen te detecteren, en virtual patching via een WAF of IPS om bekende exploits te blokkeren terwijl je werkt aan een structurele oplossing.

One-day vulnerability in de praktijk

Een concreet voorbeeld van het one-day risico is de Log4Shell kwetsbaarheid uit 2021. Hoewel er snel patches beschikbaar kwamen, werd de kwetsbaarheid maandenlang actief misbruikt omdat organisaties hun systemen niet tijdig bijwerkten. Veel bedrijven wisten niet eens dat ze kwetsbare versies van Log4j in hun software hadden draaien, wat het belang van een compleet softwareinventaris (SBOM) onderstreept. Zonder te weten welke software en bibliotheken je draait, kun je ook niet beoordelen of een gepubliceerde kwetsbaarheid jouw organisatie raakt.

In 2025 zien we vergelijkbare patronen bij kwetsbaarheden in VPN-appliances, firewalls en edge devices. Google Threat Intelligence Group registreerde 90 zero-days die in 2025 in het wild werden misbruikt, waarvan een groot deel na publicatie langdurig als n-day bleef worden geexploiteerd door andere groepen aanvallers. Aanvallers combineren vaak meerdere bekende kwetsbaarheden in een aanvalsketen, waardoor zelfs kwetsbaarheden met een lagere ernstscore in combinatie kritiek kunnen worden en tot volledige compromittering leiden.

De les is helder: een gepubliceerde patch betekent niet dat het gevaar geweken is. Integendeel, publicatie is voor veel aanvallers het startschot om massaal te scannen naar ongepatchte systemen. De publicatie van een CVE en bijbehorende PoC-code fungeert als een routekaart die precies laat zien waar de zwakte zit en hoe je die kunt misbruiken. Zorg dat je patchproces snel, gestructureerd en volledig is om dit risicovenster zo klein mogelijk te houden.

Veelgestelde vragen over one-day vulnerability

Wat is het verschil tussen een zero-day en een one-day vulnerability?

Een zero-day is een kwetsbaarheid die nog niet bekend is bij de leverancier en waarvoor geen patch bestaat. Een one-day is een kwetsbaarheid die al bekend is gemaakt en waarvoor doorgaans een patch beschikbaar is, maar die actief wordt misbruikt bij ongepatchte systemen.

Hoe snel worden one-day kwetsbaarheden misbruikt?

De gemiddelde tijd tussen publicatie en eerste misbruik is gedaald naar 44 dagen in 2025. Bij kwetsbaarheden met gepubliceerde exploitcode kan misbruik binnen uren na publicatie beginnen. Snel patchen is daarom essentieel voor elke organisatie.

Hoe bescherm je je tegen one-day kwetsbaarheden?

Implementeer een gestructureerd patch management proces met duidelijke tijdslijnen. Monitor actief welke kwetsbaarheden worden misbruikt via bronnen zoals het NCSC en CISA KEV. Gebruik vulnerability scanning om ongepatchte systemen te identificeren en pas compenserende maatregelen toe waar direct patchen niet mogelijk is.

Waarom zijn one-day kwetsbaarheden gevaarlijker dan zero-days?

In volume zijn one-day kwetsbaarheden gevaarlijker omdat meer aanvallers toegang hebben tot exploitcode en omdat ze zich richten op een groot aanvalsoppervlak van ongepatchte systemen. Zero-days worden vaker ingezet door geavanceerde actoren tegen specifieke doelen.

Wat is een SBOM en waarom helpt het tegen one-day risico's?

Een Software Bill of Materials (SBOM) is een inventarislijst van alle softwarecomponenten in je applicaties en systemen. Het helpt je snel te bepalen of een gepubliceerde kwetsbaarheid relevant is voor je omgeving, zodat je gericht en prioritair kunt patchen.

Meer weten over kwetsbaarheidsbeheer? Bekijk Patch & Vulnerability Management op IBgidsNL.