Certified Secure ontdekt kwetsbaarheid in PolarSSL
Certified Secure heeft een kwetsbaarheid in PolarSSL ontdekt waardoor het in bepaalde gevallen mogelijk is om op systemen willekeurige code of een Denial of Service-aanval uit te voeren. PolarSSL wordt door verschillende programma's voor SSL/TLS en andere cryptografische toepassingen gebruikt, waaronder het door de AIVD goedgekeurde OpenVPN-NL. Het nu ontdekte probleem wordt veroorzaakt door de manier waarop PolarSSL zogeheten X.509-certificaten verwerkt. Dit zijn certificaten die onder andere worden gebruikt voor het authenticeren van gebruikers.
Op het moment dat een server die van PolarSSL gebruik maakt een kwaadaardig certificaat verwerkt kan de aanval worden uitgevoerd. Dit gebeurt bijvoorbeeld als een server is geconfigureerd om client-certificaten te controleren. De aanvaller hoeft in dit geval niet over een geldig certificaat of inloggegevens te beschikken, het aanbieden van een kwaadaardig certificaat aan de server volstaat. Naast de aanval op servers is het ook mogelijk om gebruikers aan te vallen als die met een kwaadaardige server verbinding maken die PolarSSL gebruikt. Ook in dit geval kan er in bepaalde omstandigheden willekeurige code op de computer van de gebruiker worden uitgevoerd of een Denial of Service worden veroorzaakt.
PolarSSL is een alternatief voor het populaire OpenSSL en is onder andere bekend omdat het door OpenVPN-NL wordt gebruikt. Dit is een aangepaste versie van het opensourceprogramma OpenVPN dat de AIVD heeft goedgekeurd voor overheidsgebruik op Departementaal Vertrouwelijk niveau. Via een VPN (Virtual Private Network) is het mogelijk om een beveiligde verbinding naar een afgesloten netwerk op te zetten.
De kwetsbaarheid werd op 14 januari aan PolarSSL gemeld en vijf dagen later op 19 januari verholpen. Het beveiligingslek is bevestigd in alle PolarSSL-versies vanaf versie 1.0. Beheerders en gebruikers krijgen het advies om de patch van PolarSSL te installeren. Tevens is er een nieuwe versie van OpenVPN-NL beschikbaar gemaakt. Meer details zijn in de advisory van Certified Secure te vinden.
Update
Het Nationaal Cyber Security Centrum (NCSC) van de overheid heeft vanwege het PolarSSL-lek een beveiligingsadvies voor OpenVPN-NL uitgebracht.
Aardig wat mensen die zich moeten schamen dus.
Aardig wat mensen die zich moeten schamen dus.
Even wat nuancering.
Goedgekeurd betekend niet geaudit. Dat Fox-IT een aangepaste versie uitbrengt (openssl vervangen voor polarssl), betekend niet dat zij ook de source code compleet hebben doorgespit. De aangepaste versie dwingt strengere en 'veiligere' protocollen af en voldoet aan een aantal richtlijnen, meer niet. Zie deze pagina voor meer informatie daarover: https://openvpn.fox-it.com/background.html.
PolarSSL was zelf, volgens hun, ook al op de hoogte van de fout (staat in de advisory):
Feedback received from PolarSSL on 14-01-2015: Upon receiving our advisory PolarSSL indicated they have independently found the same vulnerability during an internal audit process. A patch for this vulnerability will be released on 19-01-2015, see the official PolarSSL advisory.
Daarnaast is de impact van deze bug vrij klein te noemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
