Nieuws

SaferVPN verhelpt DoS-kwetsbaarheid zonder deze bij de CVE te melden

donderdag 24 september 2020, 15:37 door Redactie, 5 reacties

SaferVPN heeft in stilte een denial-of-service kwetsbaarheid in de vpn-software gerepareerd. Het bedrijf lijkt daarbij de ongeschreven regels van ‘responsible disclosure’ aan haar laars te hebben gelapt.

Begin september ontdekte een beveiligingsonderzoeker die alleen bekend staat onder de naam ‘mmht3t’ een kwetsbaarheid in SaferVPN. Het ging om CVE 2020-25744 waardoor buitenstaanders meer rechten kunnen krijgen en een DoS-aanval kunnen veroorzaken. Volgens mmht3t hebben SaferVPN-gebruikers in versies vòòr 5.0.3.3 van het programma volledige rechten over de log-map van de software en kunnen ze naar hartenlust bestanden in die map verwijderen. Ook kunnen ze symbolische links aanmaken die verwijzen naar bestanden met veel gebruikersrechten. Als een gebruiker dat doet, wordt de inhoud van het log-bestand overschreven met het bestand dat ruimere gebruikersrechten heeft, schrijft Techradar

Nadat de beveiligingsonderzoeker dit had ontdekt, meldde hij zijn bevindingen aan SaferVPN. Het bedrijf lijkt de bug nu verholpen te hebben in versie 5.0.3.3 van de vpn-client, maar zonder daarvoor in het openbaar te verwijzen naar de ontdekking van mmht3t. Daarop besloot mmht3t SaferVPN om een reactie te vragen. SaferVPN reageerde daar niet op, maar heeft in stilte een nieuwe versie uitgebracht van de vpn-client. Mmht3t heeft daarom met zijn ontdekking de publiciteit gezocht zodat de kwetsbaarheid opgenomen zou worden in de CVE-lijst.

Mobiele Bing-zoekopdrachten dagenlang open en bloot

Hackers misbruiken Zerologon-lek in Windows Server

Reacties (5)

24-09-2020, 15:49 door Anoniem

Waarom zou een bedrijf alle vulnerabilities moeten melden als CVE?

Responsible diclosure is als iemand een vulnerability vindt, hij/zij deze informatie niet onmiddellijk openbaar maakt, maar eerst met het bedrijf in kwesite deelt om hen tijd te geven om een oplossing te bedenken.
https://veiliginternetten.nl/themes/situatie/wat-een-responsible-disclosure/

Er worden veel vulnerabilities in stilte verholpen, hoor. Ook tijdens de maandelijkse MS patches.

24-09-2020, 18:50 door Anoniem

Door Anoniem: Waarom zou een bedrijf alle vulnerabilities moeten melden als CVE?

Responsible diclosure is als iemand een vulnerability vindt, hij/zij deze informatie niet onmiddellijk openbaar maakt, maar eerst met het bedrijf in kwesite deelt om hen tijd te geven om een oplossing te bedenken.
https://veiliginternetten.nl/themes/situatie/wat-een-responsible-disclosure/

Er worden veel vulnerabilities in stilte verholpen, hoor. Ook tijdens de maandelijkse MS patches.

Helaas wel inderdaad. Het is ook een doorn in het oog van de gemiddelde onderzoeker dat dit gebeurd.

Je complete controle kan zijn gebaseerd op het doorzoeken van changelogs op CVE-nummers als je risico's wilt inschatten in je patch-procedure, dus niet melden kan uiteindelijk zorgen dat je klanten de patch niet installeren (want onbelangrijk om op laatste feature release te werken als er geen security issues zijn, terwijl elke update wel risico's in continuiteit meebrengt) en zo kun je dus kwetsbaar worden.

Tip: wordt er in software iets gefixed qua security, vraag altijd om een CVE nummer.

25-09-2020, 00:00 door [Account Verwijderd]

Weer iets dat uit het dossier genaamd: gentleman's agreements geschrapt kan worden.

Een opmerking zoals: "Waarom zou een bedrijf alle vulnerabilities moeten melden als CVE?" is het bewijs dat belang van Gentleman's agreements zoals: in het kader van vrijwillig melden van kwetsbaarheden zodat deze op de o.a. voor ICT belangrijke lijst van kwetsbaarheden chronologisch te boek staan, bijna worden gebagatelliseerd als: nutteloze acties.

Daarom is de professionele reactie van anoniem, 18:50 inhoudelijk zo belangrijk, maar....luistert er nog iemand? Ik ben bang dat dit een precedent wordt voor navolging...

Het is allemaal zo jammer!
En waarom toch? Antwoord: Anders dan egocentrisch bedrijfsbelang kan ik het niet noemen. Ofwel: Het hoger ideaal van compileren en in stand houden van veilige software wordt geofferd aan de beursnotering.

Treurig.

25-09-2020, 11:11 door Anoniem

De volgende keer zal mmht3t waarschijnlijk de kwetsbaarheid eerst publiceren vorens SaferVPN in te lichten.

25-09-2020, 12:01 door Anoniem

Werkt twee kanten op. CVE info t.b.v. mitigatie en via shodan.io scans t.b.v. de cybercrimineel en commerciële belangen.

Het oude zich herhalende probleem. Ga je voor openheid (open disclosure) of security through obscurity?

Wat niet weet en juist steeds weer deert.

luntrus

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer