DigiD-sessies klein aantal gemeenten waren mogelijk te kapen - update

De websites van twaalf gemeenten waren kwetsbaar voor een probleem waarbij de root-logingegevens van de Microsoft IIS-server waren te achterhalen. Daardoor waren in theorie onder meer DigiD-sessies te onderscheppen.

Digid-logoDoor de kwetsbaarheden konden aanvallers eigen code uitvoeren op de website, en bijvoorbeeld DigiD-sessies onderscheppen. Dat bevestigt Logius, de organisatie die verantwoordelijk is voor onder meer DigiD. Ook zou een aanvaller door kunnen dringen naar het interne netwerk van de gemeente, denkt Erik Westhovens van Dinamiqs, dat het beveiligingsprobleem op het spoor kwam.

In totaal werden twaalf gemeenten getroffen door het beveiligingsprobleem. "Door dat lek kon iemand de volledige controle over een webserver verkrijgen", aldus woordvoerder Rick Bron van Logius. Volgens hem gaat het om een specifieke versie van een cms. "De makers van het cms hebben onderzoek laten doen door beveiligingsbedrijf Fox-IT, en daaruit blijkt dat er geen misbruik is gemaakt van het lek."

Logius en Dinamiqs willen niet kwijt welk content management systeem is getroffen, maar een bron rond het onderzoek zegt tegen Tweakers dat het gaat om Seneca Smartsite. Dat bedrijf wil desgevraagd niet bevestigen of ontkennen dat het een beveiligingsprobleem had. "Als we een beveiligingsprobleem hebben gehad, communiceren we dat met onze klanten, en niet in de openbaarheid", aldus Marco Konink van Seneca.

Onderzoekers van Dinamiqs kwamen het beveiligingsprobleem op het spoor bij een audit van een 'veelgebruikt cms-systeem', dat ook door de gemeenten bleek te worden gebruikt. Daarbij konden ze een bestand uitlezen waarin gegevens van de systeembeheerder van de Microsoft IIS server waren opgeslagen. "Waarom die gegevens in dat bestand stonden is een hele goede vraag", aldus Westhovens.

Het is onduidelijk hoe de DigiD-sessies zouden kunnen worden gekaapt: de gebruiker voert zijn gebruikersnaam en wachtwoord immers niet op de website van de gemeente in, maar wordt doorgestuurd naar een inlogformulier op Digid.nl. Mogelijk zouden de sessie-id's kunnen worden gestolen, of doelt het bedrijf op een scenario waarbij het DigiD-loginformulier wordt gespoofd. Logius en de ontdekker van het lek willen daar niet op ingaan.

Volgens Westhovens wordt het content management systeem door veel gemeenten gebruikt. "We denken de helft of zelfs meer van alle gemeenten", aldus Westhovens. Daaronder zouden ook vier van de tien grootste gemeenten zijn. Westhovens wil niet aangeven welke gemeenten dat zijn. "Dat vind ik niet netjes." Ook andere bedrijven en zorginstellingen zouden het cms gebruiken, al is niet duidelijk of die ook de kwetsbare versie gebruikten.

De bug is inmiddels gepatcht, maar heeft tussen de acht en twaalf maanden opengestaan. De scanningtool die Westhovens en zijn bedrijf gebruikten, Nikto, gaf bovendien aan dat de kwetsbaarheid al bekend was.

Eerder op woensdag schreef De Telegraaf al over het beveiligingsprobleem: volgens de krant moeten 'miljoenen DigiD-gebruikers' hun wachtwoord wijzigen. Dat lijkt mee te vallen, gezien het kleine aantal getroffen gemeenten. Westhovens van Dinamiqs noemt de berichtgeving van De Telegraaf dan ook te kort door de bocht.

Update, donderdag 11:15: Het getroffen cms blijkt Seneca SmartSite te zijn, heeft Tweakers van bronnen rond het onderzoek vernomen. Deze informatie is verwerkt in het artikel.

Door Joost Schellevis

Redacteur

08-10-2014 • 16:51

50

Reacties (50)

50
49
31
6
2
9
Wijzig sortering
Ben wel heel erg benieuwd om welk CMS het hier gaat. Als ik in dit overzicht kijk http://www.200ok.nl/cms-gemeenten/ komt er niet direct een CMS uit dat aan de gegeven hints voldoet.
De CMS'en die in meer dan 12 gemeenten worden gebruikt, zijn:
  • SIMSite: 176
  • Green Valley CMS: 57
  • TYPO3: 54
  • SmartSite: 24
  • GX Webmanager: 16
  • GO CMS: 15
  • Drupal: 14
Alleen SIMSite wordt in bijna de helft van 403 de gemeenten gebruikt.

Eén van hints was verder: "Daaronder zouden ook vier van de tien grootste gemeenten zijn."
  • Amsterdam: IPROX
  • Rotterdam: SmartSite
  • Den Haag: GX Webmanager
  • Utrecht: TYPO3
  • Eindhoven: GX Webmanager
  • Tilburg: TYPO3
  • Groningen: Plone
  • Almere: TYPO3
  • Breda: Drupal
  • Nijmegen: MMBase
Er is geen enkel CMS dat in 4 van de top-10 gemeenten wordt gebruikt. Geen enkele gebruikt SIMSite. Dinamiqs heeft dus sowieso z'n cijfers niet op orde. TYPO3 wordt in 3 van de top-10 gemeenten gebruikt, GX Webmanager in 2, en SmartSite en Drupal in 1.

Correct me if I'm wrong, maar het is voor TYPO3 en Drupal echter ongebruikelijk om IIS als webserver te gebruiken (maar wel mogelijk). Geen enkele van de TYPO3-sites geeft bij de server-response (met curl) aan IIS te gebruiken, maar dat is op zich niet uitgesloten. GX Webmanager ken ik onvoldoende, maar kan ook cross-platform worden gebruikt.

SmartSite daarentegen draait alleen op IIS. Dat lijkt me dan wel de hoofdverdachte. Even een snelle scan gedraaid: van de 24 gemeenten die SmartSite gebruiken, zijn er 9 die nog IIS 6.0 gebruiken (volgend jaar dus zonder hotfixes):
  • Alphen-Chaam
  • Haaksbergen
  • Halderberge
  • Leidschendam-Voorburg
  • Rhenen
  • Rotterdam
  • Soest
  • Alkmaar
  • Hengelo Ov.
Verder zijn er 4 gemeenten die nog IIS 7.0 gebruiken, en 9 die IIS 7.5 gebruiken (en 2 geven geen server-data met curl).

[Reactie gewijzigd door MIster X op 26 juli 2024 07:38]

Smartsite :X
Heb er in een detacheringsperiode tegen wil en dank een paar jaar mee gewerkt. Wat een bagger vond ik dat.
Al kon ik niet zeggen of dat aan Smartsite an sich lag, of aan de specifieke implementatie ervan.
Wellicht dat die Erik Westhovens van Dinamiqs eens heel helder kan uitleggen hoe het bericht over het kleine lek zo ongelovelijk uit zn verband gerukt in de Telegraaf verschijnt?

Alfred Monterie van De Telegraaf: "Miljoenen DigiD-gebruikers moeten hun wachtwoord wijzigen.DigiD, de authenticatiedienst waarmee Nederlanders zich bij de overheid kunnen identificeren, blijkt zeer onveilig."

Achteraf blijkt dat het slechts om een 12 gemeenten gaat en het lek niet aantoonbaar is misbruikt.

Kennelijk zaten zowel Erik Westhovens als Alfred Monterie meer verlegen om aandacht door middel van sensatie dan via correcte berichtgeving.
Erik Westhovens moet uitleggen waarom een sensatie krant sensatie schrijft? Right
Anoniem: 626563 @drdelta9 oktober 2014 08:36
Ik (Erik Westhovens) wil hier zeker op reageren. Er is een vooraankondiging gedaan. De telegraaf wilde graag als eerste alle informatie hebben. Alle vragen werden door mij en ook door Logius niet beantwoord en daarop publiceerde de telegraaf het bericht. En dat was behoorlijk ongenuanceerd.

Helaas.
Die verklaring is simpel: de Telegraaf.
Kranten in het algemeen eigenlijk.
Nou, nee. Genoeg kranten die genuanceerder bericht geven als de Telegraaf. Eigenlijk alle kranten. Niet voor niks staat de Telegraaf bekend als de krant van zwakker Nederland: veel plaatjes, veel chocoladeletters, weinig tot geen wederhoor en de waarheid mag sensatie niet in de weg staan..
Toh zijn alle kranten geredigeerd. En redactie is een vorm van censuur. Dingen wegstrepen die lezers afschrikken, en dingen een beetje inkleuren die lezers aantrekken. Het gebeurt zelfs online, ook bij Tweakers.
Worden de getroffen burgers ook ingelicht? of is dat ook niet zo netjes :Y)
Anoniem: 126717 @BoringDay8 oktober 2014 17:34
Daar zijn ze klaar mee voordat ze beginnen.
"We hebben onderzoek laten doen door beveiligingsbedrijf Fox-IT, en daaruit blijkt dat er geen misbruik is gemaakt van het lek."
Misschien wist een hacker zijn sporen door de logfiles aan te passen?
Dan kan je natuurlijk zoeken tot je een ons weegt.
Ja maar dan kunnen ze ook geen getroffen burgers inlichten ;). Daar komt bij dat ookal was er misbruik gemaakt van de exploit door de hacker op de server hij nog steeds niet bij de servers van DigiD kan en daar dus niet zijn sporen uit kan wissen ;).
Daar heb je inderdaad gelijk in.
Volgens mij lees ik in het artikel dat er geen burgers zijn getroffen. Er was een vulnerability, maar er is geen exploit geweest (voor zover FoxIT dit kon zien).
Anoniem: 363533 8 oktober 2014 16:54
'Klein aantal gemeenten'.

Het maakt nogal veel uit of je de sessie kan kapen van Lutjebroek met 100 inwoners...of van Amsterdam, Rotterdam, Utrecht, Den Haag, Leiden etc met honderduizenden inwoners.
Lutjebroek is geen gemeente, maar valt onder de gemeente Stede Broec, die gemeente telt 21.478 inwoners. Per 1 januari 2015 gaat die gemeente samenwerken met Enkhuizen (18.383) en Drechterland (19.252). Dat wordt dan toch alweer een redelijke hoeveelheid inwoners ± 60.000. Ik mag voor die mensen ook hopen dat de beveiliging op orde is :)
Anoniem: 363533 @Civil8 oktober 2014 21:16
Ik bedoelde het natuurlijk als het spreekwoordelijke gehucht in de middle of nowhere. =P
Zijdewind dan iets? Ligt net boven 't veld en waarland... :P

[Reactie gewijzigd door Thekilldevilhil op 26 juli 2024 07:38]

Het is wel heel erg slecht dat een tool als Nikto (zoekt naar webapps en bijbehorende bugs) zoiets vind.
Het is dus een bug die allang bekend was, vind er dan helemaal geen audit plaats voor zulke dingen live gaan?
Daar lijkt het wel op..
Ik denk eerder deploy en nooit meer updaten want "het werkt".
Anoniem: 221563 8 oktober 2014 16:56
Microsoft IIS-server... waarom geen linux bak zoals de meeste webservers? Stuk stabieler, stuk minder 'hacks' nodig om alles draaiend te krijgen.

On topic: Het zal vast niet SIM zijn geweest (het CMS systeem dat op de helft van de gemeente sites draait) aangezien die gemeente specifiek is en niet wordt ingezet bij overige bedrijven.

Tevens kun je bij alle 'feiten' die vanuit de Telegraaf komen wel quotes om de titels te plaatsen. Telegraaf is meer een achterklap tabloid dan een degelijke krant maar goed.
Van de Nikto-site:
CMS Explorer currently supports module/theme discovery with the following products:
• Drupal
• Wordpress
• Joomla!
• Mambo
Edit: de tool kan zo te zien ook http://osvdb.org/ gebruiken, dus de lijst is aanzienlijk groter.

[Reactie gewijzigd door Rafe op 26 juli 2024 07:38]

Kun je uitleggen waarom je claimt dat Linux een stabielere webserver heeft dan IIS? Volgens mij hebben beide voordelen en nadelen. De OpenSSL exploit was een voorbeeld van een enorm problem op de Linux stack en IIS heeft vergelijkbare issues in het verleden gehad. De hacks om bijv PHP te draaien zijn ook al jaren verleden tijd.
"We denken de helft of zelfs meer van alle gemeenten", aldus Westhovens.

Volgens mij is SIM (SIMgroep voor de niet-kenners) de enige die dat soort cijfers kan neerleggen, maar die draaien geen IIS en hebben ook hun eigen CMS, niet eentje die door Nikto wordt ondersteund.

Het maakt het niet duidelijker waar precies nu de bug zit.
IIS doet nauwelijks terzake, het gaat om een bug in het CMS. En we weten allemaal dat er tig CMS'en en beheertools zijn die op Apache/Linux draaien die forse lekken hebben gehad.

Overigens is IIS tegenwoordig (versies na versie 6) prima stabiele en veilige webservers. Zoek maar eens naar het aantal bugs in IIS de laatste paar jaat. Wellicht niet het allerbest maar meer dan adequaat voor een gemeente server.
Als jij op IIS kan plassen, kan ik ook wel een boekje opendoen over de exploits waar IIS immuun voor is, zoals heartbleed en shellshock.

Los daarvan, IIS is prima veilig. Het probleem zit em in de beheerder, de software, of de gebruiker.
Kunnen ze dan op zijn minst niet het gebruikte CMS benoemen en welke versie dit lek had, in plaats van zulke omslachtige bewoordingen te gebruiken. Daar hebben anderen die misschien hetzelfde CMS gebruiken ook wat aan.
Tweakers gebruikt nog het oude DigiD logo... laat Logius er maar niet achter komen. ;)

Veel gemeenten draaien nog de oudere CGI variant van DigiD en de integratie daarvan is veelal behoorlijk in het CMS verweven. De laatste versie van DigiD maakt gebruik van SAML en ondersteunt bijvoorbeeld ook Single Sign On. Deze variant is echter nog lang niet overal in gebruik.

Door de koppeling naar DigiD buiten het CMS te realiseren, bijvoorbeeld in een XML security gateway, kunnen dit soort zwakheden worden voorkomen. Leveranciers zoals mijn werkgever (Enable-U) bieden een dergelijke oplossing. Zo'n gateway voor je CMS plaatsen lijkt mij voor overheidsdiensten sowieso aan te raden. Services worden dan in de gateway gevirtualiseerd en gemakkelijk voorzien van een centrale beveiligingslaag. Het toepassen van een XML security gateway is niet voor niets een van de best-practices in een SOA architectuur http://en.wikipedia.org/wiki/SOA_Security
Toch grappig dat er iedere keer weer digid problemen tevoorschijn komen en iedereen me toch keer na keer weer voor gek verklaard dat ik weiger digid te gebruiken.
Ik neem aan, gezien de grote hoeveelheid gestolen username/passwords, dat je weigert,sites te gebruiken waar je moet inloggen?
Ik heb een speciaal mail account voor bagger en inlog voor niet relevante sites ja en een aparte voor belangrijke accounts.
Meuk en belangrijke data gescheiden houden en een goed plan.
En dat mail adres bekijk ik ook alleen thuis en nooit via de browser.
Ook in dit geval was er helemaal geen probleem met DigiD. Het lag namelijk aan het CMS waar de websites op draaide. DigiD draait in een compleet los systeem.
Dan ga je het nog zwaar krijgen met het regelen van je overheidszaken. Volgens de huidige planning moet elke gemeente in 2017 alles digitaal gaan doen.
Als ik het goed heb, hebben ze het over het systeem Adito, tegenwoordig OpenVPN ALS.
OpenVPN ALS is ten eerste geen CMS en draait meestal niet op IIS. Dus ik denk niet dat die het is :)

Op dit item kan niet meer gereageerd worden.