image

SaferVPN verhelpt DoS-kwetsbaarheid zonder deze bij de CVE te melden

donderdag 24 september 2020, 15:37 door Redactie, 5 reacties

SaferVPN heeft in stilte een denial-of-service kwetsbaarheid in de vpn-software gerepareerd. Het bedrijf lijkt daarbij de ongeschreven regels van ‘responsible disclosure’ aan haar laars te hebben gelapt.

Begin september ontdekte een beveiligingsonderzoeker die alleen bekend staat onder de naam ‘mmht3t’ een kwetsbaarheid in SaferVPN. Het ging om CVE 2020-25744 waardoor buitenstaanders meer rechten kunnen krijgen en een DoS-aanval kunnen veroorzaken. Volgens mmht3t hebben SaferVPN-gebruikers in versies vòòr 5.0.3.3 van het programma volledige rechten over de log-map van de software en kunnen ze naar hartenlust bestanden in die map verwijderen. Ook kunnen ze symbolische links aanmaken die verwijzen naar bestanden met veel gebruikersrechten. Als een gebruiker dat doet, wordt de inhoud van het log-bestand overschreven met het bestand dat ruimere gebruikersrechten heeft, schrijft Techradar

Nadat de beveiligingsonderzoeker dit had ontdekt, meldde hij zijn bevindingen aan SaferVPN. Het bedrijf lijkt de bug nu verholpen te hebben in versie 5.0.3.3 van de vpn-client, maar zonder daarvoor in het openbaar te verwijzen naar de ontdekking van mmht3t. Daarop besloot mmht3t SaferVPN om een reactie te vragen. SaferVPN reageerde daar niet op, maar heeft in stilte een nieuwe versie uitgebracht van de vpn-client. Mmht3t heeft daarom met zijn ontdekking de publiciteit gezocht zodat de kwetsbaarheid opgenomen zou worden in de CVE-lijst.

Reacties (5)
24-09-2020, 15:49 door Anoniem
Waarom zou een bedrijf alle vulnerabilities moeten melden als CVE?

Responsible diclosure is als iemand een vulnerability vindt, hij/zij deze informatie niet onmiddellijk openbaar maakt, maar eerst met het bedrijf in kwesite deelt om hen tijd te geven om een oplossing te bedenken.
https://veiliginternetten.nl/themes/situatie/wat-een-responsible-disclosure/

Er worden veel vulnerabilities in stilte verholpen, hoor. Ook tijdens de maandelijkse MS patches.
24-09-2020, 18:50 door Anoniem
Door Anoniem: Waarom zou een bedrijf alle vulnerabilities moeten melden als CVE?

Responsible diclosure is als iemand een vulnerability vindt, hij/zij deze informatie niet onmiddellijk openbaar maakt, maar eerst met het bedrijf in kwesite deelt om hen tijd te geven om een oplossing te bedenken.
https://veiliginternetten.nl/themes/situatie/wat-een-responsible-disclosure/

Er worden veel vulnerabilities in stilte verholpen, hoor. Ook tijdens de maandelijkse MS patches.

Helaas wel inderdaad. Het is ook een doorn in het oog van de gemiddelde onderzoeker dat dit gebeurd.

Je complete controle kan zijn gebaseerd op het doorzoeken van changelogs op CVE-nummers als je risico's wilt inschatten in je patch-procedure, dus niet melden kan uiteindelijk zorgen dat je klanten de patch niet installeren (want onbelangrijk om op laatste feature release te werken als er geen security issues zijn, terwijl elke update wel risico's in continuiteit meebrengt) en zo kun je dus kwetsbaar worden.

Tip: wordt er in software iets gefixed qua security, vraag altijd om een CVE nummer.
25-09-2020, 00:00 door [Account Verwijderd]
Weer iets dat uit het dossier genaamd: gentleman's agreements geschrapt kan worden.

Een opmerking zoals: "Waarom zou een bedrijf alle vulnerabilities moeten melden als CVE?" is het bewijs dat belang van Gentleman's agreements zoals: in het kader van vrijwillig melden van kwetsbaarheden zodat deze op de o.a. voor ICT belangrijke lijst van kwetsbaarheden chronologisch te boek staan, bijna worden gebagatelliseerd als: nutteloze acties.

Daarom is de professionele reactie van anoniem, 18:50 inhoudelijk zo belangrijk, maar....luistert er nog iemand? Ik ben bang dat dit een precedent wordt voor navolging...

Het is allemaal zo jammer!
En waarom toch? Antwoord: Anders dan egocentrisch bedrijfsbelang kan ik het niet noemen. Ofwel: Het hoger ideaal van compileren en in stand houden van veilige software wordt geofferd aan de beursnotering.

Treurig.
25-09-2020, 11:11 door Anoniem
De volgende keer zal mmht3t waarschijnlijk de kwetsbaarheid eerst publiceren vorens SaferVPN in te lichten.
25-09-2020, 12:01 door Anoniem
Werkt twee kanten op. CVE info t.b.v. mitigatie en via shodan.io scans t.b.v. de cybercrimineel en commerciële belangen.

Het oude zich herhalende probleem. Ga je voor openheid (open disclosure) of security through obscurity?

Wat niet weet en juist steeds weer deert.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.