‘Dienst gebouwd op Ruby on Rails moet offline’

11-01-2013 11:55 | Door Sander Hulsman | Lees meer artikelen over: Exploits, Hosting, Social media, Patches, DigiD, Ruby (on Rails) | Lees meer over het bedrijf: Ruby | Er zijn 5 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink

Het digitale authenticatiesysteem DigiD ging op woensdag 9 januari 2013 volledig offline omdat er een lek was gevonden in het onderliggende webapplicatieframework Ruby on Rails. Dit lek treft echter niet alleen DigiD, veel meer websites en instanties zijn kwetsbaar voor hackersaanvallen als zij hun Ruby on Rails-platform niet updaten naar de meest recente versie. Dit blijkt uit rondvraag onder Computable-experts.

Uit een advies van het Nationaal Cyber Security Centrum (NCSC) blijkt wat de impact van het lek in Ruby on Rails kan zijn en om welke kwetsbaarheid het gaat. Dat een aantal hacktools onder andere ook op Ruby on Rails gebaseerd zijn, zorgt ervoor dat er veel aandacht voor het lek is en dat zowel oplossingen als aanvalshulpmiddelen ontwikkeld worden. Het is daarom zaak voor alle websites die functionaliteit op Ruby on Rails ontwikkeld hebben, om deze software te updaten naar de nieuwste versies die op 8 januari 2013 zijn vrijgegeven. Het gaat hier om de Ruby on Rails-versies 3.2.11, 3.1.10 en 3.0.19.

Twitter, Xing, Philips en Uitzending Gemist

Wereldwijd zijn bijna een kwart miljoen websites geheel of gedeeltelijk ontwikkeld op Ruby on Rails. In elk geval 52.000 webservers wereldwijd zijn voorzien van Ruby on Rails. Bekende voorbeelden hiervan zijn de social media Twitter en Xing, maar ook de website van Philips en de dienst Uitzending Gemist van de NOS zijn op het webapplicatieframework ontwikkeld. Voor beheerders van onder andere deze sites is het zaak zo snel mogelijk de software te updaten.

‘Punt is nu dat al deze honderdduizenden op Ruby on Rails gebaseerde websites niet allemaal even actief beheerd worden’, meent Computable-expert en zelfstandig ict-architect Berend van Bemmel. ‘Met een actieve beheerder zal de patch snel geïnstalleerd worden, maar een groot percentage sites wordt maar zeer marginaal of niet beheerd. Deze blijven kwetsbaar en zullen vroeger of later ontdekt worden door scripts, robots of scanners en overgenomen worden, met directe of indirecte schade tot gevolg.’

Hosting provider en applicatiebouwer

Het lek in Ruby on Rails is gevaarlijk voor iedereen die nog op de getroffen versie van het Ruby on Rails-platform draait’, zegt Computable-expert Stefan Koopmanschap, software engineer bij Ibuildings. ‘Iedereen die software heeft die gebouwd is met Ruby on Rails en die niet heeft geüpgrade naar de meest recente versie met de fix voor dit probleem, is dus automatisch kwetsbaar. Het is dus van belang de Ruby on Rails-installatie zo snel mogelijk bij te werken. Voor veel mensen zal dit betekenen dat hun hosting provider een upgrade zal moeten uitvoeren. Het gaat hier om hosting providers die centrale, beheerde versies van Ruby on Rails aanbieden. In sommige gevallen is actie van de applicatiebouwer benodigd. Zo heeft cloudprovider Engine Yard zijn klanten opgeroepen om hun applicatie opnieuw te deployen.’

Collega-expert Maarten Hartsuijker, security consultant bij Classity, erkent dit. ‘Het lek bevindt zich in Ruby on Rails en is daardoor erg gevaarlijk voor iedereen die dit framework heeft gebruikt om zijn webapplicatie mee te bouwen. Websites kunnen uiteraard preventieve maatregelen hebben getroffen zoals het uitschakelen van deze specifieke functionaliteit of specifieke intrusion prevention; maatregelen waardoor ze geen of minder last van de fout hebben. Uiteindelijk is het lek vooral gevaarlijk voor de gebruikers en bedrijven die hun gegevens aan een kwetsbare site hebben toevertrouwd.’

Webdienst direct offline halen

Expert John Veldhuis, senior system consultant bij Sophos, raadt bedrijven en website die webdiensten aanbieden aan om net als DigiD deze dienst direct offline te halen. ‘Het lek in Ruby on Rails is zeer gevaarlijk voor iedereen die het gebruikt bij een voor anderen openstaande webdienst. Het is dan ook absolute noodzaak dat wanneer je prijs stelt op de integriteit, vertrouwelijkheid en beschikbaarheid van je dienst en je gegevens, je de dienst offline haalt en pas weer aanbiedt na het dichten van de gaten.’
Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Sponsored content