Sinds eind 2022 meet basisbeveiliging.nl de reclamebanners die worden aangeboden bij online diensten. Hierin staat bijvoorbeeld de fabrikant of de naam van het product. Bekende voorbeelden zijn Apache en Nginx. Maar ook een dienst voor het op afstand beheren van computers, SSH, heeft zo’n banner, maar deze is anders dan anderen.
De banner voor SSH bevat niet alleen reclame, maar ook de versie van de software die wordt aangeboden. Dat is een verplicht onderdeel van het product. Basisbeveiliging maakt hiervoor in de beoordeling een uitzondering: normaliter wordt een versienummer negatief beoordeeld omdat een aanvaller dit kan gebruiken, maar bij SSH kan het niet anders. En daar wringt nu de schoen.
Op 1 juli hebben onderzoekers van Qualys een nieuwe kwetsbaarheid gepubliceerd genaamd regreSSHion. Dit is een hoog risico aanval waarmee een aanvaller met behoorlijk wat moeite toegang krijgt tot het achterliggende systeem. De nodige mitsen en maren worden uitgelegd in de blogpost van de onderzoekers. De kwetsbare versies zijn OpenSSH 4.4p en lager en 8.5p1 tot 9.8p1 van 1 juli 2024. Meer informatie over de kwetsbaarheid is te vinden onder nummer CVE-2024-6387.
Iedere beveiligingsonderzoeker en aanvaller heeft de middelen en kennis om te achterhalen welke versie waar draait. Een leek kan dit ook achterhalen door de 10 minuten YouTube handleiding over ‘bannergrabbing’ te volgen. De geoefende aanvaller heeft deze banners van het hele internet al klaarliggen, of kan deze in enkele uren zelf samenstellen met verouderde hardware.
De aanval zelf kost tijd en kan doelgericht worden uitgevoerd omdat kwetsbare versies makkelijk zijn te vinden. Een aanvaller krijgt daarnaast makkelijk meer zekerheid doordat SSH niet alleen de versie aangeeft maar ook op welk systeem het draait. Bijvoorbeeld “9.2p1 debian-2+deb12u2“, door dat laatste stuk is in een tabel te zien op debian.org dat dit een kwetsbare versie is. Dit commentaar is optioneel, kan worden uitgezet en wordt daardoor altijd als hoog risico beoordeeld op basisbeveiliging.nl.
Metingen
Hieronder staat welke kwetsbare versies van SSH draaien bij de overheid, zorg, onderwijs en overige lagen. Deze informatie is gebaseerd op metingen van 28 juni tot 1 juli: dus net voordat de kwetsbaarheid publiek werd. Inmiddels zullen de eerste aanpassingen zijn gedaan. Daarom krijgt dit artikel over een paar maanden een vervolg.
De kwetsbaarheid is te verhelpen door te upgraden naar de meest recente versie van OpenSSH. Er worden meer dan 2500 SSH diensten aangeboden bij de gemeten organisaties, 21% daarvan is dus hoogstwaarschijnlijk kwetsbaar. Naast upgraden is het afschermen van SSH toegang met een firewall sterk aan te raden.
Basisbeveiliging bevat geen metingen of beoordeling over ernstige kwetsbaarheden als regreSSHion: dat gaat tegen ons publicatiebeleid in. Basisbeveiliging meet reclamebanners van software om aan te geven dat deze moeten worden opgeruimd. Dit opruimen is onderdeel van een proces genaamd hardening. Ook het afschermen van (opties tot) beheerstoegang voor onbevoegden hieronder.
Kwetsbare versies op 1 juli 2024
Net voordat de kwetsbaarheid publiek werd meet basisbeveiliging 586 kwetsbare versies. De verdeling per kaart/doelgroep is als volgt:
| Doelgroep / Kaart | Aantal kwetsbare versies |
| Overheid / Centraal | 166 |
| Onderwijs / HBO | 141 |
| Zorg / Ziekenhuis | 93 |
| Onderwijs / Universiteit | 79 |
| Politieke partijen | 44 |
| Overheid / Gemeente | 22 |
| Cybersecuritybedrijven | 16 |
| Onderwijs / Primair | 13 |
| Overheid / Provincie | 7 |
| Overheid / Veiligheidsregio | 2 |
| Overheid / Waterschap | 2 |
| Zorg / GGD | 1 |
Onderverdeling kwetsbare versies bij de overheid
Bij de overheid zien we 199 kwetsbare installaties. Deze geven vaak ook teveel informatie over het achterliggende systeem, wat optioneel is. Deze optionele informatie keurt basisbeveiliging.nl altijd als rood: het systeem is niet gehard tegen aanvallen en een aanvaller weet meteen precies wat op het systeem draait.
De verdeling van de 199 kwetsbare installaties is als volgt:
| Overheid | Gemeente | Provincie | Veiligheid | Water | |
| 8.9p1 ubuntu-3ubuntu0.6 | 55 | 6 | 1 | 1 | |
| 9.2p1 debian-2+deb12u2 | 52 | 1 | |||
| 8.9p1 ubuntu-3ubuntu0.7 | 25 | 1 | |||
| 8.7 | 16 | ||||
| 8.9p1 | 10 | 1 | |||
| 4.3p2 | 6 | ||||
| 8.8 | 4 | ||||
| 9.6p1 ubuntu-3ubuntu13 | 3 | 1 | |||
| 8.9p1 ubuntu-3ubuntu0.1 | 2 | 1 | |||
| for_windows_9.5 | 3 | ||||
| 9.3 | 2 | ||||
| 9.0 | 1 | 1 | |||
| for_windows_8.0 | 2 | ||||
| 8.9p1 ubuntu-3ubuntu0.3 | 1 | ||||
| 9.0p1 ubuntu-1ubuntu7 | 1 | ||||
| 9.3p1 ubuntu-1ubuntu3.3 | 1 | ||||
| 9.7 | 1 |
Onderverdeling onderwijs
Er zijn 233 kwetsbaarheden gevonden in het onderwijs, wat opvalt is dat er geen kwetsbare versies zijn gevonden bij het voortgezet onderwijs en het MBO.
| HBO | Universiteit | Primair | |
| 9.2p1 debian-2+deb12u2 | 116 | 27 | 1 |
| 8.9p1 ubuntu-3ubuntu0.7 | 16 | 16 | 6 |
| 8.9p1 ubuntu-3ubuntu0.6 | 3 | 11 | 2 |
| 8.9p1 | 4 | 8 | |
| 9.2p1 | 6 | 2 | |
| 8.7 | 2 | 1 | |
| 9.5 | 1 | 1 | |
| 9.7 | 2 | ||
| 9.7p1 debian-6 | 2 | ||
| 8.8 | 1 | ||
| 8.9p1 ubuntu-3ubuntu0.4 | 1 | ||
| 9.0p1 ubuntu-1ubuntu8.7 | 1 | ||
| 9.2p1 debian-2+deb12u1 | 1 | ||
| 9.3 | 1 | ||
| for_windows_8.1 | 1 |
Onderverdeling Zorg
In de zorg zijn 94 kwetsbare versies gevonden, bijna allemaal bij ziekenhuizen.
| Ziekenhuizen | GGD | |
| 8.9p1 ubuntu-3ubuntu0.7 | 51 | |
| 8.9p1 | 15 | |
| 8.9p1 ubuntu-3ubuntu0.6 | 9 | 1 |
| 8.7 | 9 | |
| 9.0 | 5 | |
| 9.2p1 debian-2+deb12u2 | 2 | |
| 9.6 | 1 | |
| 9.6p1 ubuntu-3ubuntu13 | 1 |
Onderverdeling overig
Dit zijn de overige lagen op basisbeveiliging. Deze hebben niets met elkaar te maken. Landelijke politieke partijen hebben 44 kwetsbaarheden en cybersecuritybedrijven 16.
| layer | political_parties | cyber |
| 8.9p1 | 34 | |
| 8.9p1 ubuntu-3ubuntu0.6 | 3 | 4 |
| 9.3 | 5 | |
| 8.9p1 ubuntu-3ubuntu0.7 | 2 | 2 |
| 9.2p1 debian-2+deb12u2 | 2 | 2 |
| 9.6p1 ubuntu-3ubuntu13 | 3 | |
| 9.6 | 2 | |
| 8.9p1 ubuntu-3 | 1 |
Verantwoording
De metingen zijn uitgevoerd van 28 juni tot 1 juli op de tot dan toe bekende SSH poorten. Deze lijst blijkt na onderzoek na 8 december 2023 niet te zijn aangevuld, waardoor veel SSH diensten van andere kaartlagen helaas ontbreken. De kans is dus groot dat er nog veel meer SSH diensten draaien. Dit wordt in het vervolg rechtgezet.