Logius haalt DigiD offline na lek in Ruby on Rails

09-01-2013 15:02 | Door Sander Hulsman | Lees meer artikelen over: Authenticatie, SQL, SSL, DigiD, Ruby (on Rails) | Lees meer over het bedrijf: Logius | Er zijn 5 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
DigiD

De dienst Digitale overheid van het ministerie Binnenlandse Zaken Logius heeft per direct het digitale authetiecatiesysteem DigiD offline gehaald. Reden hiervoor is de vondst van een ernstig lek in het onderliggende open source webapplicatieframework Ruby on Rails. Het probleem is zo ernstig dat het gevoelig is voor een denial of service (DoS)-aanval, beveiligingsmaatregelen zoals authenticatie omzeild kunnen worden, er gesjoemeld kan worden met gebruikersrechten, SQL-injecties mogelijk zijn en er toegang tot gegevens mogelijk was. DigiD zelf is niet lek.

Doordat er misbruik van DigiD gemaakt kon worden is besloten per direct de dienst offline te halen. Logius is momenteel bezig met het nemen van noodmaatregelen. Als er een oplossing is gevonden, moet de update eerst nog getest worden voordat DigiD weer gebruikt kan worden. Naar verwachting zal de dienst pas donderdagochtend weer beschikbaar zijn.

JSON- en XML-parameters

In een raportage van NCSC staat het volgende te lezen: ‘Door een fout in de afhandeling van JSON-parameters door ‘Active Record’ bestaat de mogelijkheid om sql-queries te beïnvloeden. De kwetsbaarheid stelt kwaadwillenden niet in staat om de volledige query te wijzigen maar wel om controles op NULL-waarden te beïnvloeden en de WHERE-clause van een query te elimineren. Dit kan een hoge impact op de applicatielogica hebben, maar dit hangt af van de specifieke applicatie die gebruikt maakt van deze functionaliteit.’

Ook is er een fout in verwerking XML-parameters. Hierover wordt gezegd: ‘Ruby on Rails handelt bepaalde typen data niet goed af wanneer deze data is opgenomen in een XML-bericht of als YAML-parameter. Kwaadwillenden kunnen dit XML-bericht aan een Ruby on Rails-applicatie aanbieden via de body van een ‘HTTP POST’-verzoek. Misbruik van deze kwetsbaarheid kan leiden tot het injecteren van willekeurige code en sql-queries, het omzeilen van authenticatiesystemen en het uitvoeren van DoS-aanvallen.’

NCSC, Diginotar en Ombudsman

Het is niet de eerste keer dat DigiD vanwege kwetsbaarheden offline wordt gehaald. Begin 2012 waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor kwetsbaarheden op webservers van Logius. Die zwakke plekken hadden invloed op de beveiliging van DigiD. De apparatuur kon misbruikt worden voor een DoS-aanval.

Ook zorgde een vervalst ssl-certificaat bij het inmiddels failliete Diginotar ervoor dat DigiD offline ging. Overigens was de overheid toen al eens een keer gewaarschuwd door de Nationale Ombudsman. DigiD zou namelijk niet goed beveiligd zijn.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Top 10 reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1893 6,9
Klik voor meer info2 1427 6,6
Klik voor meer info3 1358 6,4
Klik voor meer info4 1168 6,5
Klik voor meer info5 1105 6,5
Klik voor meer info6 1048 5,9
Klik voor meer info7 847 6,7
Klik voor meer info8 639 5,9
Klik voor meer info9 514 6,3
Klik voor meer info10 437 5,9