DigiD offline wegens hash collision-lek
De DigiD-systemen gaan binnenkort zes uur offline wegens het verhelpen van een hash collision kwetsbaarheid, maar welke wil overheidsinstantie Logius niet zeggen. Gisterenmiddag verstuurde Logius, dat onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is en producten op het gebied van toegang, gegevensuitwisseling en informatiebeveiliging levert, onderstaande e-mail. Daarin wordt gewezen op een upgrade die op 6 februari tussen 0:00 en 06:00 uur zal plaatsvinden. De upgrade moet een kwetsbaarheid op de webserver voorkomen waardoor een denial of service-aanval is uit te voeren. Logius zou door het net opgerichte Nationaal Cyber Security Center (NCSC) hiervoor zijn gewaarschuwd.
Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt. Wel kan hij bevestigen dat het een hash collision kwetsbaarheid betreft. "Na zorgvuldige afweging wil Logius conform planning en na een testtraject de upgrade doorvoeren. Er is op dit moment na zorgvuldige analyse geen aanleiding gevonden om hiervan af te wijken en de upgrade moet vooral gezien worden als voorzorgsmaatregel", aldus woordvoerder Michiel Groeneveld.
Advies
Het NCSC geeft op de eigen website twee beveiligingsadviezen over "hash collision" kwetsbaarheden. De eerste dateert van 17 januari en betreft twee kwetsbaarheden in Apache Tomcat. De tweede waarschuwing is voor een hash collision kwetsbaarheid die in verschillende website ontwikkelplatformen is gevonden. De eerste versie van dit document dateert van 11 januari. Inmiddels zijn er elf nieuwe versies verschenen, waarvan de laatste gisteren uitkwam.
Patch
Updates voor de door het NCSC genoemde hash collision kwetsbaarheden zijn al geruime tijd bekend, wat ook geldt voor aanvalscode. Daardoor kan vanaf een enkele laptop een webserver worden platgelegd. Microsoft bracht op 30 december een noodpatch uit, terwijl Apache op 28 december en 17 januari, CentOS op 11 januari, Fedora op 11 januari en ook PHP op 11 januari volgden.
Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt.
Update: titel aangepast, aanvallen zijn voor zover bekend nog niet actief waargenomen
Zou het niet moeten zijn "DigiD offline wegens hash collision-kwetsbaarheid" ? Of heeft iemand m.b.v. deze vulnerability een daadwerkelijke aanval uitgevoerd ?
[admin] Titel is aangepast [/admin]
Kan me voorstellen dat je voor zoiets als DigiD wel een maandje aan het tetsen bent. Dat wordt overal en nergens gebruikt dat het niet in 2 uurtjes te testen is.
Info voor de hackers: als ik 100 bedrijven bel zijn er misschien 5 op een fatsoenlijke manier aan het 'patchen'. FAQ vanuit de IT Mngt: ''wat is patch mngt?'' en vervolgens: ''Oh ja dat doen we want we hebben WSUS''.
Als je weet dat MS ongeveer 50% van een bedrijfsnetwerk vertegenwoordigt, betekent dit dat 50% van de applicaties (structureel!!!!!!!!!!!!!!!!!!!) niet en/of te laat worden gepatched..!!!
How to exploit a vulnerability (hoe omzeilt malware iedere AV en Firewall - ook 'next gen'):
http://www.sans.org/top-cyber-security-risks/tutorial.php
Werkloos zijn was nog nooit zo interessant..
Voor advies/hulp: www.secunia.com
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
