DigiD offline wegens hash collision-lek
De DigiD-systemen gaan binnenkort zes uur offline wegens het verhelpen van een hash collision kwetsbaarheid, maar welke wil overheidsinstantie Logius niet zeggen. Gisterenmiddag verstuurde Logius, dat onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties is en producten op het gebied van toegang, gegevensuitwisseling en informatiebeveiliging levert, onderstaande e-mail. Daarin wordt gewezen op een upgrade die op 6 februari tussen 0:00 en 06:00 uur zal plaatsvinden. De upgrade moet een kwetsbaarheid op de webserver voorkomen waardoor een denial of service-aanval is uit te voeren. Logius zou door het net opgerichte Nationaal Cyber Security Center (NCSC) hiervoor zijn gewaarschuwd.
Een woordvoerder van Logius zegt tegenover Security.nl geen mededelingen te kunnen doen over de specifieke software die op de DigiD-servers geüpgraded wordt. Wel kan hij bevestigen dat het een hash collision kwetsbaarheid betreft. "Na zorgvuldige afweging wil Logius conform planning en na een testtraject de upgrade doorvoeren. Er is op dit moment na zorgvuldige analyse geen aanleiding gevonden om hiervan af te wijken en de upgrade moet vooral gezien worden als voorzorgsmaatregel", aldus woordvoerder Michiel Groeneveld.
Advies
Het NCSC geeft op de eigen website twee beveiligingsadviezen over "hash collision" kwetsbaarheden. De eerste dateert van 17 januari en betreft twee kwetsbaarheden in Apache Tomcat. De tweede waarschuwing is voor een hash collision kwetsbaarheid die in verschillende website ontwikkelplatformen is gevonden. De eerste versie van dit document dateert van 11 januari. Inmiddels zijn er elf nieuwe versies verschenen, waarvan de laatste gisteren uitkwam.
Patch
Updates voor de door het NCSC genoemde hash collision kwetsbaarheden zijn al geruime tijd bekend, wat ook geldt voor aanvalscode. Daardoor kan vanaf een enkele laptop een webserver worden platgelegd. Microsoft bracht op 30 december een noodpatch uit, terwijl Apache op 28 december en 17 januari, CentOS op 11 januari, Fedora op 11 januari en ook PHP op 11 januari volgden.
Aangezien Logius niet zegt om welke software het gaat en om welke hash collision kwetsbaarheid, kan ook niet worden gezegd dat het beschikbare updates een kleine maand nadat die beschikbaar zijn pas uitrolt.
Update: titel aangepast, aanvallen zijn voor zover bekend nog niet actief waargenomen
Zou het niet moeten zijn "DigiD offline wegens hash collision-kwetsbaarheid" ? Of heeft iemand m.b.v. deze vulnerability een daadwerkelijke aanval uitgevoerd ?
[admin] Titel is aangepast [/admin]
Kan me voorstellen dat je voor zoiets als DigiD wel een maandje aan het tetsen bent. Dat wordt overal en nergens gebruikt dat het niet in 2 uurtjes te testen is.
Info voor de hackers: als ik 100 bedrijven bel zijn er misschien 5 op een fatsoenlijke manier aan het 'patchen'. FAQ vanuit de IT Mngt: ''wat is patch mngt?'' en vervolgens: ''Oh ja dat doen we want we hebben WSUS''.
Als je weet dat MS ongeveer 50% van een bedrijfsnetwerk vertegenwoordigt, betekent dit dat 50% van de applicaties (structureel!!!!!!!!!!!!!!!!!!!) niet en/of te laat worden gepatched..!!!
How to exploit a vulnerability (hoe omzeilt malware iedere AV en Firewall - ook 'next gen'):
http://www.sans.org/top-cyber-security-risks/tutorial.php
Werkloos zijn was nog nooit zo interessant..
Voor advies/hulp: www.secunia.com
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.