De dienst Digitale overheid van het ministerie Binnenlandse Zaken Logius heeft per direct het digitale authetiecatiesysteem DigiD offline gehaald. Reden hiervoor is de vondst van een ernstig lek in het onderliggende open source webapplicatieframework Ruby on Rails. Het probleem is zo ernstig dat het gevoelig is voor een denial of service (DoS)-aanval, beveiligingsmaatregelen zoals authenticatie omzeild kunnen worden, er gesjoemeld kan worden met gebruikersrechten, SQL-injecties mogelijk zijn en er toegang tot gegevens mogelijk was. DigiD zelf is niet lek.
Doordat er misbruik van DigiD gemaakt kon worden is besloten per direct de dienst offline te halen. Logius is momenteel bezig met het nemen van noodmaatregelen. Als er een oplossing is gevonden, moet de update eerst nog getest worden voordat DigiD weer gebruikt kan worden. Naar verwachting zal de dienst pas donderdagochtend weer beschikbaar zijn.
JSON- en XML-parameters
In een raportage van NCSC staat het volgende te lezen: ‘Door een fout in de afhandeling van JSON-parameters door ‘Active Record’ bestaat de mogelijkheid om sql-queries te beïnvloeden. De kwetsbaarheid stelt kwaadwillenden niet in staat om de volledige query te wijzigen maar wel om controles op NULL-waarden te beïnvloeden en de WHERE-clause van een query te elimineren. Dit kan een hoge impact op de applicatielogica hebben, maar dit hangt af van de specifieke applicatie die gebruikt maakt van deze functionaliteit.’
Ook is er een fout in verwerking XML-parameters. Hierover wordt gezegd: ‘Ruby on Rails handelt bepaalde typen data niet goed af wanneer deze data is opgenomen in een XML-bericht of als YAML-parameter. Kwaadwillenden kunnen dit XML-bericht aan een Ruby on Rails-applicatie aanbieden via de body van een ‘HTTP POST’-verzoek. Misbruik van deze kwetsbaarheid kan leiden tot het injecteren van willekeurige code en sql-queries, het omzeilen van authenticatiesystemen en het uitvoeren van DoS-aanvallen.’
NCSC, Diginotar en Ombudsman
Het is niet de eerste keer dat DigiD vanwege kwetsbaarheden offline wordt gehaald. Begin 2012 waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor kwetsbaarheden op webservers van Logius. Die zwakke plekken hadden invloed op de beveiliging van DigiD. De apparatuur kon misbruikt worden voor een DoS-aanval.
Ook zorgde een vervalst ssl-certificaat bij het inmiddels failliete Diginotar ervoor dat DigiD offline ging. Overigens was de overheid toen al eens een keer gewaarschuwd door de Nationale Ombudsman. DigiD zou namelijk niet goed beveiligd zijn.
Lees ook