bannergrabbing Archives - Internet Cleanup Foundation

Op 1 juli ten minste 586 kwetsbare SSH versies bij overheid, zorg en onderwijs.

Sinds eind 2022 meet basisbeveiliging.nl de reclamebanners die worden aangeboden bij online diensten. Hierin staat bijvoorbeeld de fabrikant of de naam van het product. Bekende voorbeelden zijn Apache en Nginx. Maar ook een dienst voor het op afstand beheren van computers, SSH, heeft zo’n banner, maar deze is anders dan anderen.

De banner voor SSH bevat niet alleen reclame, maar ook de versie van de software die wordt aangeboden. Dat is een verplicht onderdeel van het product. Basisbeveiliging maakt hiervoor in de beoordeling een uitzondering: normaliter wordt een versienummer negatief beoordeeld omdat een aanvaller dit kan gebruiken, maar bij SSH kan het niet anders. En daar wringt nu de schoen.

Op 1 juli hebben onderzoekers van Qualys een nieuwe kwetsbaarheid gepubliceerd genaamd regreSSHion. Dit is een hoog risico aanval waarmee een aanvaller met behoorlijk wat moeite toegang krijgt tot het achterliggende systeem. De nodige mitsen en maren worden uitgelegd in de blogpost van de onderzoekers. De kwetsbare versies zijn OpenSSH 4.4p en lager en 8.5p1 tot 9.8p1 van 1 juli 2024. Meer informatie over de kwetsbaarheid is te vinden onder nummer CVE-2024-6387.

Iedere beveiligingsonderzoeker en aanvaller heeft de middelen en kennis om te achterhalen welke versie waar draait. Een leek kan dit ook achterhalen door de 10 minuten YouTube handleiding over ‘bannergrabbing’ te volgen. De geoefende aanvaller heeft deze banners van het hele internet al klaarliggen, of kan deze in enkele uren zelf samenstellen met verouderde hardware.

De aanval zelf kost tijd en kan doelgericht worden uitgevoerd omdat kwetsbare versies makkelijk zijn te vinden. Een aanvaller krijgt daarnaast makkelijk meer zekerheid doordat SSH niet alleen de versie aangeeft maar ook op welk systeem het draait. Bijvoorbeeld “9.2p1 debian-2+deb12u2“, door dat laatste stuk is in een tabel te zien op debian.org dat dit een kwetsbare versie is. Dit commentaar is optioneel, kan worden uitgezet en wordt daardoor altijd als hoog risico beoordeeld op basisbeveiliging.nl.

Metingen

Hieronder staat welke kwetsbare versies van SSH draaien bij de overheid, zorg, onderwijs en overige lagen. Deze informatie is gebaseerd op metingen van 28 juni tot 1 juli: dus net voordat de kwetsbaarheid publiek werd. Inmiddels zullen de eerste aanpassingen zijn gedaan. Daarom krijgt dit artikel over een paar maanden een vervolg.

De kwetsbaarheid is te verhelpen door te upgraden naar de meest recente versie van OpenSSH. Er worden meer dan 2500 SSH diensten aangeboden bij de gemeten organisaties, 21% daarvan is dus hoogstwaarschijnlijk kwetsbaar. Naast upgraden is het afschermen van SSH toegang met een firewall sterk aan te raden.

Basisbeveiliging bevat geen metingen of beoordeling over ernstige kwetsbaarheden als regreSSHion: dat gaat tegen ons publicatiebeleid in. Basisbeveiliging meet reclamebanners van software om aan te geven dat deze moeten worden opgeruimd. Dit opruimen is onderdeel van een proces genaamd hardening. Ook het afschermen van (opties tot) beheerstoegang voor onbevoegden hieronder.

Kwetsbare versies op 1 juli 2024

Net voordat de kwetsbaarheid publiek werd meet basisbeveiliging 586 kwetsbare versies. De verdeling per kaart/doelgroep is als volgt:

Doelgroep / Kaart	Aantal kwetsbare versies
Overheid / Centraal	166
Onderwijs / HBO	141
Zorg / Ziekenhuis	93
Onderwijs / Universiteit	79
Politieke partijen	44
Overheid / Gemeente	22
Cybersecuritybedrijven	16
Onderwijs / Primair	13
Overheid / Provincie	7
Overheid / Veiligheidsregio	2
Overheid / Waterschap	2
Zorg / GGD	1

Verdeling kwetsbare OpenSSH diensten op verschillende kaarten

Onderverdeling kwetsbare versies bij de overheid

Bij de overheid zien we 199 kwetsbare installaties. Deze geven vaak ook teveel informatie over het achterliggende systeem, wat optioneel is. Deze optionele informatie keurt basisbeveiliging.nl altijd als rood: het systeem is niet gehard tegen aanvallen en een aanvaller weet meteen precies wat op het systeem draait.

De verdeling van de 199 kwetsbare installaties is als volgt:

	Overheid	Gemeente	Provincie	Veiligheid	Water
8.9p1 ubuntu-3ubuntu0.6	55	6		1	1
9.2p1 debian-2+deb12u2	52				1
8.9p1 ubuntu-3ubuntu0.7	25	1
8.7	16
8.9p1		10		1
4.3p2	6
8.8			4
9.6p1 ubuntu-3ubuntu13	3	1
8.9p1 ubuntu-3ubuntu0.1	2		1
for_windows_9.5	3
9.3			2
9.0	1	1
for_windows_8.0		2
8.9p1 ubuntu-3ubuntu0.3		1
9.0p1 ubuntu-1ubuntu7	1
9.3p1 ubuntu-1ubuntu3.3	1
9.7	1

Verdeling kwetsbare SSH versies per overheidslaag. De verschillende reclamebanners geven vaak ook teveel informatie over het achterliggende systeem.

Onderverdeling onderwijs

Er zijn 233 kwetsbaarheden gevonden in het onderwijs, wat opvalt is dat er geen kwetsbare versies zijn gevonden bij het voortgezet onderwijs en het MBO.

	HBO	Universiteit	Primair
9.2p1 debian-2+deb12u2	116	27	1
8.9p1 ubuntu-3ubuntu0.7	16	16	6
8.9p1 ubuntu-3ubuntu0.6	3	11	2
8.9p1	4	8
9.2p1		6	2
8.7		2	1
9.5	1		1
9.7		2
9.7p1 debian-6		2
8.8		1
8.9p1 ubuntu-3ubuntu0.4		1
9.0p1 ubuntu-1ubuntu8.7		1
9.2p1 debian-2+deb12u1		1
9.3		1
for_windows_8.1	1

Verdeling kwetsbare SSH versies bij het onderwijs. Bij het Voortgezet Onderwijs en MBO zijn geen kwetsbare versies gevonden.

Onderverdeling Zorg

In de zorg zijn 94 kwetsbare versies gevonden, bijna allemaal bij ziekenhuizen.

	Ziekenhuizen	GGD
8.9p1 ubuntu-3ubuntu0.7	51
8.9p1	15
8.9p1 ubuntu-3ubuntu0.6	9	1
8.7	9
9.0	5
9.2p1 debian-2+deb12u2	2
9.6	1
9.6p1 ubuntu-3ubuntu13	1

Verdeling kwetsbare SSH versies in de zorg.

Onderverdeling overig

Dit zijn de overige lagen op basisbeveiliging. Deze hebben niets met elkaar te maken. Landelijke politieke partijen hebben 44 kwetsbaarheden en cybersecuritybedrijven 16.

layer	political_parties	cyber
8.9p1	34
8.9p1 ubuntu-3ubuntu0.6	3	4
9.3		5
8.9p1 ubuntu-3ubuntu0.7	2	2
9.2p1 debian-2+deb12u2	2	2
9.6p1 ubuntu-3ubuntu13		3
9.6	2
8.9p1 ubuntu-3	1

Onderverdeling kwetsbare SSH versies bij overige lagen van basisbeveiliging.

Verantwoording

De metingen zijn uitgevoerd van 28 juni tot 1 juli op de tot dan toe bekende SSH poorten. Deze lijst blijkt na onderzoek na 8 december 2023 niet te zijn aangevuld, waardoor veel SSH diensten van andere kaartlagen helaas ontbreken. De kans is dus groot dat er nog veel meer SSH diensten draaien. Dit wordt in het vervolg rechtgezet.

Updates – Juli 2023

Meer duiding en omlijsting

We zijn meer kennis rondom de stichting aan het uitschrijven: wat doen we, hoe doen we dat en wat betekent dit. De eerste stukken hiervan staan nu online:

De uitzonderingen op het meetbeleid zijn nu opgesomd en centraal publiek inzichtelijk. Dit wordt gebaseerd op de stroom aan comply or explain berichten die we wekelijks krijgen.
Een disclaimer rondom de inhoud van de site en expliciet de metingen.
De Responsible Disclosure / Coordinated Vulnerability Disclosure pagina is verplaatst naar de site van de stichting omdat het hier makkelijk in is te onderhouden.

Deze links zijn terug te vinden in de footer van basisbeveiliging.nl. Er volgt binnenkort meer, zoals de code of conduct.

Metingen

Overheids-niveau TLS meting toegevoegd

Zie voor meer informatie de blogpost, hier.

Privacy-scan aangezet op alle subdomeinen en completere resultaten

Alle subdomeinen worden nu meegenomen in de privacy scan. Dat betekent dat er behoorlijk veel meetpunten zijn bijgekomen.

Daarnaast is de meting voorzien van extra informatie over welke aanvragen er worden gedaan naar externen. Voorheen waren alleen de links te zien, nu kan je zien waar de aanvraag vandaan komt: afbeeldingen, scripts, fetch, xhr, fonts etcetera. Je ziet ook wat wordt meegestuurd. Soms wordt er namelijk alleen een extra (POST) verzoek gedaan om zo te kunnen tracken zonder cookies.

Nieuwe uitgebreide meetgegevens in de privacymeting

Goedgekeurde versie-informatie

Het SSH protocol vereist dat er staat welke versie wordt gebruikt, zodat er bepaald kan worden welke features worden ondersteund. Dat is ergens te begrijpen. Omdat het onderdeel van het protocol is, moeten we het nu goedkeuren. Echter is er ook ruimte om “comments” mee te geven in de identificatie. Alle gevallen met comments keuren we niet goed, omdat dit geen onderdeel is van de negotiation en dus volledig optioneel is. Je kan deze comments uitzetten.

Dat de versie wordt goedgekeurd zegt niets over of de versie veilig is. Zo op het eerste gezicht vinden we het vanuit een security-standpunt onverklaarbaar waarom er informatie over de host gedeeld moet worden voor negotiation, maar daar is vast goed over nagedacht.

Goedgekeurd: ssh-2.0-openssh_5.8
Afgekeurd: ssh-2.0-openssh_5.9p1 debian-5ubuntu1.10

Lees verder: www.openssh.com/txt/rfc4253.txt, punt 4.2 Dit is ook opgenomen in de uitzonderingen op het meetbeleid.

Whois informatie meting gefixt

De SIDN api gaf ook antwoord op domeinen buiten het bereik. Als je daar zoekt naar apple.com krijg je de resultaten van apple.nl. Deze fout is rechtgezet aan onze kant: er wordt alleen nog op .nl domeinen WHOIS informatie opgevraagd.

Security.txt metingen hebben nu meetgegevens

Het is nu in te zien waarom security.txt metingen falen. Dat omdat de meting recentelijk is gewijzigd: het bestand moet op een nieuwe regel eindigen anders is het ongeldig.

Op de site

Filtering in rapporten

Het is nu mogelijk om op bevinding te filteren in rapporten. Dit is nog een redelijk basaal filter wat niet alle domeinen zonder resultaten weghaalt. Dat komt in een volgende versie. Het helpt in ieder geval om snel de juiste metingen te vinden omdat de rest onzichtbaar wordt.

Comply or explain bug opgelost

Sommige verklaringen werden nog niet meegenomen in de statistieken en rapporten. Daardoor week de kleur van de kaart en de statistieken af van de inhoud van het rapport. Deze lopen, na een paar dagen lang puzzelen, helemaal gelijk. Hiermee is een lang uitstaande bug opgelost (en zijn er vast weer twee nieuwe bijgekomen, want zo werkt dat met software).

Overig

Bij het importeren van organisaties worden nu arbitraire velden ondersteund. Dit is handig om op een later moment te kunnen filteren.
Er is meer logging toegevoegd aan de ‘ontbrekende tls’ meting. Deze geeft af en toe false positives en daar willen we vanaf. Dit is een traag proces en we verwachten dat het heel even duurt voordat alles weg is.
Het toevoegen en verwijderen van endpoints wordt nu gelogd en omgezet naar grafieken, hierdoor kunnen we grote verschuivingen detecteren en bepalen of er iets mis is met de internetverbinding of de meting.
HSTS meting bevatte een bug waardoor de meting qua bewijsvoering ‘klapperde’.

Nieuwe metingen (januari 2023) – Software Identificatie, Overbodige Poorten

Er zijn weer nieuwe metingen toegevoegd aan basisbeveiliging. Het gaat om de volgende twee:

Software versie identificatie. We kijken of software op je server aangeeft welke (specifieke) versie er wordt gedraaid. Deze informatie wordt gebruikt door aanvallers om een specifieke aanval uit te voeren of te plannen. In een gehardende omgeving is deze informatie niet zichtbaar: in dat geval moet een aanvaller meer moeite doen om erachter te komen welke versie er staat, wat ofwel teveel moeite is of zorgt dat een aanval makkelijker te herkennen is. De maximale score is rood, dit gebeurd als er een volledig versienummer en sub-nummer te vinden is. Bijvoorbeeld 12.34.
Overbodige poorten. Voor dienstverlening naar burgers en medewerkers van je organisatie zijn maar een paar diensten nodig. We kijken in dit geval naar een paar poorten, de alternatieve HTTP poorten (8443 enzo): hierop staan vaak diensten zoals beheerders-interfaces en dergelijke. We raden aan om dienstverlening van deze alternatieven te staken en de dienst onder de standaard poortnummers te leveren. De informatie in deze scan is nog in beta, de maximale score is oranje.

Nieuwe kaart: Online veiligheid geestelijke gezondheidszorg
Vanaf 16 juli 2024 staan is de online veiligheid van de geestelijke gezondheidszorg (GGZ) te zien op basisbeveiliging.nl. Deze sector scoort aanzienlijk lager dan de andere zorgsectoren die we meten: ziekenhuizen en … Lees verder "Nieuwe kaart: Online veiligheid geestelijke gezondheidszorg"
Op 1 juli ten minste 586 kwetsbare SSH versies bij overheid, zorg en onderwijs.
Sinds eind 2022 meet basisbeveiliging.nl de reclamebanners die worden aangeboden bij online diensten. Hierin staat bijvoorbeeld de fabrikant of de naam van het product. Bekende voorbeelden zijn Apache en Nginx. Maar ook … Lees verder "Op 1 juli ten minste 586 kwetsbare SSH versies bij overheid, zorg en onderwijs."
Update: online dienstverlening overheid binnen de EU, 2251 domeinen en 539 mailservers in de VS
Dit is een update van ons onderzoek van augustus 2023. We meten hoeveel domeinen binnen en buiten de EU+GDPR zone staan en bij welke leverancier. De exacte landen die vallen in de … Lees verder "Update: online dienstverlening overheid binnen de EU, 2251 domeinen en 539 mailservers in de VS"
Nieuwe kaart: basisonderwijs. 10% sites plaatst zomaar volgkoekjes, slechtst beveiligde onderwijslaag maar plukjes groen geven hoop
Vanaf 24 mei publiceert basisbeveiliging online veiligheidsmetingen van het basisonderwijs. Met meer dan 6000 vestigingen is dit de grootste kaart tot nu toe. De kaart is hier te bekijken. De belangrijkste bevindingen: … Lees verder "Nieuwe kaart: basisonderwijs. 10% sites plaatst zomaar volgkoekjes, slechtst beveiligde onderwijslaag maar plukjes groen geven hoop"
Updates April 2024
Website portfolio bijgewerkt Het website portfolio is een onderbelichte feature van basisbeveiliging. Dit overzicht is bijgewerkt waardoor het beter inzetbaar is voor veiligheidsdoelen. Bijvoorbeeld controle of alle sites de verwachte layout hebben … Lees verder "Updates April 2024"
Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!
Vanaf 10 april toont basisbeveiliging.nl ook de basisveiligheid van het Middelbaar Beroepsonderwijs (MBO) en het Voortgezet onderwijs (VO). Er worden meer dan 6000 domeinen van 700 instellingen gemeten. De eerste onderwijsinstelling die … Lees verder "Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!"
Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites
Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met … Lees verder "Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites"
Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.
Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar. Het … Lees verder "Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode."
Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner … Lees verder "Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet"
De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli
Sinds 7 februari meet basisbeveiliging.nl of e-mailversleuteling voldoet aan de richtlijnen van het NCSC. Deze meting is iets te streng omdat ook DANE als eis is meegenomen. DANE is slechts een overweging … Lees verder "De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli"
Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)
Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken … Lees verder "Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)"
Updates Februari 2024
Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023. Klassement Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met … Lees verder "Updates Februari 2024"
Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…
Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid … Lees verder "Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…"
Basisbeveiliging Jaaroverzicht 2023
Samenvatting 2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in … Lees verder "Basisbeveiliging Jaaroverzicht 2023"
Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid
Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het … Lees verder "Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid"
Updates December 2023
Security van Cybersecuritybedrijven De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op … Lees verder "Updates December 2023"
Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven
Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe … Lees verder "Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven"
7 politieke partijen veiliger, meer dan 100 problemen opgelost
Van de 70 politieke partijen die staan ingeschreven bij de kiesraad doen er uiteindelijk 26 mee aan de Tweede Kamerverkiezingen 2023. De overige partijen hebben we van de kaart gehaald. De samenwerkende … Lees verder "7 politieke partijen veiliger, meer dan 100 problemen opgelost"
Updates November 2023
Nieuwe meting over ongevraagde tracking cookies De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij … Lees verder "Updates November 2023"
Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende
De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan … Lees verder "Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende"