image

DigiD offline wegens hash collision-lek

zaterdag 28 januari 2012, 19:13 door Redactie, 4 reacties

De DigiD-systemen gaan binnenkort zes uur offline wegens het verhelpen van een hash collision kwetsbaarheid, maar welke wil overheidsinstantie Logius niet zeggen. Gisterenmiddag verstuurde Logius, dat onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is en producten op het gebied van toegang, gegevensuitwisseling en informatiebeveiliging levert, onderstaande e-mail. Daarin wordt gewezen op een upgrade die op 6 februari tussen 0:00 en 06:00 uur zal plaatsvinden. De upgrade moet een kwetsbaarheid op de webserver voorkomen waardoor een denial of service-aanval is uit te voeren. Logius zou door het net opgerichte Nationaal Cyber Security Center (NCSC) hiervoor zijn gewaarschuwd.

Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt. Wel kan hij bevestigen dat het een hash collision kwetsbaarheid betreft. "Na zorgvuldige afweging wil Logius conform planning en na een testtraject de upgrade doorvoeren. Er is op dit moment na zorgvuldige analyse geen aanleiding gevonden om hiervan af te wijken en de upgrade moet vooral gezien worden als voorzorgsmaatregel", aldus woordvoerder Michiel Groeneveld.

Advies
Het NCSC geeft op de eigen website twee beveiligingsadviezen over "hash collision" kwetsbaarheden. De eerste dateert van 17 januari en betreft twee kwetsbaarheden in Apache Tomcat. De tweede waarschuwing is voor een hash collision kwetsbaarheid die in verschillende website ontwikkelplatformen is gevonden. De eerste versie van dit document dateert van 11 januari. Inmiddels zijn er elf nieuwe versies verschenen, waarvan de laatste gisteren uitkwam.

Patch
Updates voor de door het NCSC genoemde hash collision kwetsbaarheden zijn al geruime tijd bekend, wat ook geldt voor aanvalscode. Daardoor kan vanaf een enkele laptop een webserver worden platgelegd. Microsoft bracht op 30 december een noodpatch uit, terwijl Apache op 28 december en 17 januari, CentOS op 11 januari, Fedora op 11 januari en ook PHP op 11 januari volgden.

Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt.


Update: titel aangepast, aanvallen zijn voor zover bekend nog niet actief waargenomen

Reacties (4)
28-01-2012, 19:28 door Anoniem
"DigiD offline wegens hash collision-aanval"

Zou het niet moeten zijn "DigiD offline wegens hash collision-kwetsbaarheid" ? Of heeft iemand m.b.v. deze vulnerability een daadwerkelijke aanval uitgevoerd ?

[admin] Titel is aangepast [/admin]
30-01-2012, 10:07 door N4ppy
"Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt. "

Kan me voorstellen dat je voor zoiets als DigiD wel een maandje aan het tetsen bent. Dat wordt overal en nergens gebruikt dat het niet in 2 uurtjes te testen is.
30-01-2012, 10:27 door Anoniem
Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt.
Makkelijk, ze sturen een header Server: Apache mee, en de website draait op het Typo3 CMS, wat draait op een PHP / MySQL / Apache combinatie.
30-01-2012, 13:11 door Anoniem
er is software beschikbaar www.secunia.com waarmee je security patches voor non-MS applicaties kunt doorsturen via WSUS/SCCM. Dit was 100% onnodig en ik had DigD zelfs al een email gestuurd hierover.

Info voor de hackers: als ik 100 bedrijven bel zijn er misschien 5 op een fatsoenlijke manier aan het 'patchen'. FAQ vanuit de IT Mngt: ''wat is patch mngt?'' en vervolgens: ''Oh ja dat doen we want we hebben WSUS''.

Als je weet dat MS ongeveer 50% van een bedrijfsnetwerk vertegenwoordigt, betekent dit dat 50% van de applicaties (structureel!!!!!!!!!!!!!!!!!!!) niet en/of te laat worden gepatched..!!!

How to exploit a vulnerability (hoe omzeilt malware iedere AV en Firewall - ook 'next gen'):
http://www.sans.org/top-cyber-security-risks/tutorial.php

Werkloos zijn was nog nooit zo interessant..


Voor advies/hulp: www.secunia.com
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.