Digid moet 6 uur offline vanwege DoS-gat

De webservers van Digid kunnen worden platgelegd door een hash collision aanval, waarvoor exploits in het wild zijn. Om te patchen gaat Digid 's nachts 6 uur lang offline.

Op 6 februari van middernacht tot 6 uur 's morgens is de authenticatiedienst Digid offline, waarschuwt Logius. De webservers blijken kwetsbaar voor denial of service DoS-aanval met speciaal geprepareerde http-pakketjes. Enkelen daarvan zijn al genoeg om webservers van allerhande soorten en maten te laten flippen en crashen.
DoS-gat in alle websites

Het gaat om een kwetsbaarheid die eind december werd gedemonstreerd tijdens het Duitse hackerscongres CCC. Door het beveiligingsgat kan een kwaadwillende een webserver platleggen met één http-request van ongeveer 100 kilobyte. De kwetsbaarheid geldt voor de meestgebruikte webservers Apache en IIS. Het eigenlijke gat zit in veelgebruikte programmeertalen, zoals PHP, Java en Microsofts ASP.NET.

De zwakke plek zit in hashes die worden gebruikt om het opslaan en weer ophalen van webpagina-data te versnellen. Dit zijn dus geen hashes voor de versleuteling (encryptie) van bijvoorbeeld wachtwoorden. De hashes voor vlotte data-opslag en -uitlezing kunnen bij normaal gebruik doublures opleveren, die de processor van de server dan met elkaar vergelijkt.
Hash collision

Kwaadwillenden kunnen, met kennis van het gebruikte hashing-algoritme, een speciaal geprepareerd http-verzoek sturen dat voor alleen maar doublures zorgt. De webserver moet al die doublures vergelijken, wat een zeer zware processorbelasting oplevert.

Verschillende leveranciers hebben sindsdien workarounds of patches gepubliceerd. Het Nationaal Cybersecurity Centrum, waar Govcert in is opgegaan, waarschuwt al weken voor de kwetsbaarheid. De laatste advisory is van 27 januari.
Volgens schema

NOS meldt dat Logius vanwege de publiciteit overweegt om de patch eerder te installeren, maar de woordvoerder van NCSC laat tegenover Security.nl weten het oorspronkelijke 'onderhoudswindow' aan te houden.

Het is niet bekend op welk type of types webserver de diensten van Digid draaien. De site www.Digid.nl zelf draait op Apache.