ports Archives - Internet Cleanup Foundation

Op 1 juli ten minste 586 kwetsbare SSH versies bij overheid, zorg en onderwijs.

Sinds eind 2022 meet basisbeveiliging.nl de reclamebanners die worden aangeboden bij online diensten. Hierin staat bijvoorbeeld de fabrikant of de naam van het product. Bekende voorbeelden zijn Apache en Nginx. Maar ook een dienst voor het op afstand beheren van computers, SSH, heeft zo’n banner, maar deze is anders dan anderen.

De banner voor SSH bevat niet alleen reclame, maar ook de versie van de software die wordt aangeboden. Dat is een verplicht onderdeel van het product. Basisbeveiliging maakt hiervoor in de beoordeling een uitzondering: normaliter wordt een versienummer negatief beoordeeld omdat een aanvaller dit kan gebruiken, maar bij SSH kan het niet anders. En daar wringt nu de schoen.

Op 1 juli hebben onderzoekers van Qualys een nieuwe kwetsbaarheid gepubliceerd genaamd regreSSHion. Dit is een hoog risico aanval waarmee een aanvaller met behoorlijk wat moeite toegang krijgt tot het achterliggende systeem. De nodige mitsen en maren worden uitgelegd in de blogpost van de onderzoekers. De kwetsbare versies zijn OpenSSH 4.4p en lager en 8.5p1 tot 9.8p1 van 1 juli 2024. Meer informatie over de kwetsbaarheid is te vinden onder nummer CVE-2024-6387.

Iedere beveiligingsonderzoeker en aanvaller heeft de middelen en kennis om te achterhalen welke versie waar draait. Een leek kan dit ook achterhalen door de 10 minuten YouTube handleiding over ‘bannergrabbing’ te volgen. De geoefende aanvaller heeft deze banners van het hele internet al klaarliggen, of kan deze in enkele uren zelf samenstellen met verouderde hardware.

De aanval zelf kost tijd en kan doelgericht worden uitgevoerd omdat kwetsbare versies makkelijk zijn te vinden. Een aanvaller krijgt daarnaast makkelijk meer zekerheid doordat SSH niet alleen de versie aangeeft maar ook op welk systeem het draait. Bijvoorbeeld “9.2p1 debian-2+deb12u2“, door dat laatste stuk is in een tabel te zien op debian.org dat dit een kwetsbare versie is. Dit commentaar is optioneel, kan worden uitgezet en wordt daardoor altijd als hoog risico beoordeeld op basisbeveiliging.nl.

Metingen

Hieronder staat welke kwetsbare versies van SSH draaien bij de overheid, zorg, onderwijs en overige lagen. Deze informatie is gebaseerd op metingen van 28 juni tot 1 juli: dus net voordat de kwetsbaarheid publiek werd. Inmiddels zullen de eerste aanpassingen zijn gedaan. Daarom krijgt dit artikel over een paar maanden een vervolg.

De kwetsbaarheid is te verhelpen door te upgraden naar de meest recente versie van OpenSSH. Er worden meer dan 2500 SSH diensten aangeboden bij de gemeten organisaties, 21% daarvan is dus hoogstwaarschijnlijk kwetsbaar. Naast upgraden is het afschermen van SSH toegang met een firewall sterk aan te raden.

Basisbeveiliging bevat geen metingen of beoordeling over ernstige kwetsbaarheden als regreSSHion: dat gaat tegen ons publicatiebeleid in. Basisbeveiliging meet reclamebanners van software om aan te geven dat deze moeten worden opgeruimd. Dit opruimen is onderdeel van een proces genaamd hardening. Ook het afschermen van (opties tot) beheerstoegang voor onbevoegden hieronder.

Kwetsbare versies op 1 juli 2024

Net voordat de kwetsbaarheid publiek werd meet basisbeveiliging 586 kwetsbare versies. De verdeling per kaart/doelgroep is als volgt:

Doelgroep / Kaart	Aantal kwetsbare versies
Overheid / Centraal	166
Onderwijs / HBO	141
Zorg / Ziekenhuis	93
Onderwijs / Universiteit	79
Politieke partijen	44
Overheid / Gemeente	22
Cybersecuritybedrijven	16
Onderwijs / Primair	13
Overheid / Provincie	7
Overheid / Veiligheidsregio	2
Overheid / Waterschap	2
Zorg / GGD	1

Verdeling kwetsbare OpenSSH diensten op verschillende kaarten

Onderverdeling kwetsbare versies bij de overheid

Bij de overheid zien we 199 kwetsbare installaties. Deze geven vaak ook teveel informatie over het achterliggende systeem, wat optioneel is. Deze optionele informatie keurt basisbeveiliging.nl altijd als rood: het systeem is niet gehard tegen aanvallen en een aanvaller weet meteen precies wat op het systeem draait.

De verdeling van de 199 kwetsbare installaties is als volgt:

	Overheid	Gemeente	Provincie	Veiligheid	Water
8.9p1 ubuntu-3ubuntu0.6	55	6		1	1
9.2p1 debian-2+deb12u2	52				1
8.9p1 ubuntu-3ubuntu0.7	25	1
8.7	16
8.9p1		10		1
4.3p2	6
8.8			4
9.6p1 ubuntu-3ubuntu13	3	1
8.9p1 ubuntu-3ubuntu0.1	2		1
for_windows_9.5	3
9.3			2
9.0	1	1
for_windows_8.0		2
8.9p1 ubuntu-3ubuntu0.3		1
9.0p1 ubuntu-1ubuntu7	1
9.3p1 ubuntu-1ubuntu3.3	1
9.7	1

Verdeling kwetsbare SSH versies per overheidslaag. De verschillende reclamebanners geven vaak ook teveel informatie over het achterliggende systeem.

Onderverdeling onderwijs

Er zijn 233 kwetsbaarheden gevonden in het onderwijs, wat opvalt is dat er geen kwetsbare versies zijn gevonden bij het voortgezet onderwijs en het MBO.

	HBO	Universiteit	Primair
9.2p1 debian-2+deb12u2	116	27	1
8.9p1 ubuntu-3ubuntu0.7	16	16	6
8.9p1 ubuntu-3ubuntu0.6	3	11	2
8.9p1	4	8
9.2p1		6	2
8.7		2	1
9.5	1		1
9.7		2
9.7p1 debian-6		2
8.8		1
8.9p1 ubuntu-3ubuntu0.4		1
9.0p1 ubuntu-1ubuntu8.7		1
9.2p1 debian-2+deb12u1		1
9.3		1
for_windows_8.1	1

Verdeling kwetsbare SSH versies bij het onderwijs. Bij het Voortgezet Onderwijs en MBO zijn geen kwetsbare versies gevonden.

Onderverdeling Zorg

In de zorg zijn 94 kwetsbare versies gevonden, bijna allemaal bij ziekenhuizen.

	Ziekenhuizen	GGD
8.9p1 ubuntu-3ubuntu0.7	51
8.9p1	15
8.9p1 ubuntu-3ubuntu0.6	9	1
8.7	9
9.0	5
9.2p1 debian-2+deb12u2	2
9.6	1
9.6p1 ubuntu-3ubuntu13	1

Verdeling kwetsbare SSH versies in de zorg.

Onderverdeling overig

Dit zijn de overige lagen op basisbeveiliging. Deze hebben niets met elkaar te maken. Landelijke politieke partijen hebben 44 kwetsbaarheden en cybersecuritybedrijven 16.

layer	political_parties	cyber
8.9p1	34
8.9p1 ubuntu-3ubuntu0.6	3	4
9.3		5
8.9p1 ubuntu-3ubuntu0.7	2	2
9.2p1 debian-2+deb12u2	2	2
9.6p1 ubuntu-3ubuntu13		3
9.6	2
8.9p1 ubuntu-3	1

Onderverdeling kwetsbare SSH versies bij overige lagen van basisbeveiliging.

Verantwoording

De metingen zijn uitgevoerd van 28 juni tot 1 juli op de tot dan toe bekende SSH poorten. Deze lijst blijkt na onderzoek na 8 december 2023 niet te zijn aangevuld, waardoor veel SSH diensten van andere kaartlagen helaas ontbreken. De kans is dus groot dat er nog veel meer SSH diensten draaien. Dit wordt in het vervolg rechtgezet.

De Helpdesk, aflevering 4 – “gesloten” poort en G1 certificaten

In de helpdesk kijken we naar vragen die binnenkomen via de mail en geven we een kort antwoord op vragen die vaker binnenkomen.

Poort 8080 is gesloten (of toch open)

We kregen een korte mail met de melding: “Poort 8080 staat niet open”. Dus wij tikken in onze browser: http://[gemeentesite].nl:8080. In plaats van ‘geen gehoor’ wordt de gebruiker doorgestuurd naar de site van een gemeente. Daarna proberen we de site http://[gemeentesite].nl:9090, en daar gebeurd niets.

Conclusie: op poort 8080 gebeurd wel iets, dus deze poort staat open met iets overbodigs. We kunnen niet zien wat en of dit een uitzondering waard is. Dus de conclusie ‘overbodige poort’ blijft staan.

Screenshot bij het bezoeken van het hoofd-domein op dit adres op :8080. De melding op deze pagina zegt dat je mogelijk iets bijzonders moet hebben gedaan om geblokkeerd te worden. Daaronder valt dus ook gewoon bezoeken 🙂

Fix voor uitzondering G1 certificaten

De overheid geeft een certificaat uit dat by design niet wordt vertrouwd in browsers. Dit is het G1 certificaat. We hebben al wat jaren code in Basisbeveiliging die hiervoor een uitzondering toevoegt. Of… dat dachten we.

We ontvingen een mailtje met de vraag of we een G1 certificaat konden uitzonderen. We hadden zoiets van: dit doen we toch al?

Dit was het begin van een paar uur lang debuggen. Uit de logs konden we halen dat deze uitzondering is aangeroepen na de ‘niet vertrouwd’ conclusie van de TLS meting. We hebben de code erbij gepakt en het met de hand aanroepen van alle functies ging goed.

We hebben de code lokaal en op de server gedraaid als allerlei gebruikers: werkt altijd. We hebben extreem gedetailleerde logging toegevoegd aan deze code en we zagen dat alleen op de server, tijdens het meten via een worker, een specifieke SSL foutmelding optrad.

De conclusie is dat een van de componenten om parallel te kunnen meten (“gevent” voor de nerds) de SSL bibliotheek aanpast wat kan zorgen voor ander gedrag. Nadat we de worker hadden omgezet naar ‘prefork’ zagen we dat het probleem was opgelost.

We hebben deze taak dus overgezet naar een prefork worker. Dat kost wat meer geheugen maar dan hebben we wel zekerheid dat de meting goed gaat.

Inmiddels is de helft van de uitzondering-checks er doorheen en zijn er 83 G1 certificaten gevonden. We zien dit certificaat o.a. op sites als api.kvk.nl, isb.rdw.nl, en data.* subdomeinen van gemeenten.

Overzicht van uitzonderingsmetingen op het domein van de vraagsteller…

Nieuwe metingen (januari 2023) – Software Identificatie, Overbodige Poorten

Er zijn weer nieuwe metingen toegevoegd aan basisbeveiliging. Het gaat om de volgende twee:

Software versie identificatie. We kijken of software op je server aangeeft welke (specifieke) versie er wordt gedraaid. Deze informatie wordt gebruikt door aanvallers om een specifieke aanval uit te voeren of te plannen. In een gehardende omgeving is deze informatie niet zichtbaar: in dat geval moet een aanvaller meer moeite doen om erachter te komen welke versie er staat, wat ofwel teveel moeite is of zorgt dat een aanval makkelijker te herkennen is. De maximale score is rood, dit gebeurd als er een volledig versienummer en sub-nummer te vinden is. Bijvoorbeeld 12.34.
Overbodige poorten. Voor dienstverlening naar burgers en medewerkers van je organisatie zijn maar een paar diensten nodig. We kijken in dit geval naar een paar poorten, de alternatieve HTTP poorten (8443 enzo): hierop staan vaak diensten zoals beheerders-interfaces en dergelijke. We raden aan om dienstverlening van deze alternatieven te staken en de dienst onder de standaard poortnummers te leveren. De informatie in deze scan is nog in beta, de maximale score is oranje.

Nieuwe kaart: Online veiligheid geestelijke gezondheidszorg
Vanaf 16 juli 2024 staan is de online veiligheid van de geestelijke gezondheidszorg (GGZ) te zien op basisbeveiliging.nl. Deze sector scoort aanzienlijk lager dan de andere zorgsectoren die we meten: ziekenhuizen en … Lees verder "Nieuwe kaart: Online veiligheid geestelijke gezondheidszorg"
Op 1 juli ten minste 586 kwetsbare SSH versies bij overheid, zorg en onderwijs.
Sinds eind 2022 meet basisbeveiliging.nl de reclamebanners die worden aangeboden bij online diensten. Hierin staat bijvoorbeeld de fabrikant of de naam van het product. Bekende voorbeelden zijn Apache en Nginx. Maar ook … Lees verder "Op 1 juli ten minste 586 kwetsbare SSH versies bij overheid, zorg en onderwijs."
Update: online dienstverlening overheid binnen de EU, 2251 domeinen en 539 mailservers in de VS
Dit is een update van ons onderzoek van augustus 2023. We meten hoeveel domeinen binnen en buiten de EU+GDPR zone staan en bij welke leverancier. De exacte landen die vallen in de … Lees verder "Update: online dienstverlening overheid binnen de EU, 2251 domeinen en 539 mailservers in de VS"
Nieuwe kaart: basisonderwijs. 10% sites plaatst zomaar volgkoekjes, slechtst beveiligde onderwijslaag maar plukjes groen geven hoop
Vanaf 24 mei publiceert basisbeveiliging online veiligheidsmetingen van het basisonderwijs. Met meer dan 6000 vestigingen is dit de grootste kaart tot nu toe. De kaart is hier te bekijken. De belangrijkste bevindingen: … Lees verder "Nieuwe kaart: basisonderwijs. 10% sites plaatst zomaar volgkoekjes, slechtst beveiligde onderwijslaag maar plukjes groen geven hoop"
Updates April 2024
Website portfolio bijgewerkt Het website portfolio is een onderbelichte feature van basisbeveiliging. Dit overzicht is bijgewerkt waardoor het beter inzetbaar is voor veiligheidsdoelen. Bijvoorbeeld controle of alle sites de verwachte layout hebben … Lees verder "Updates April 2024"
Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!
Vanaf 10 april toont basisbeveiliging.nl ook de basisveiligheid van het Middelbaar Beroepsonderwijs (MBO) en het Voortgezet onderwijs (VO). Er worden meer dan 6000 domeinen van 700 instellingen gemeten. De eerste onderwijsinstelling die … Lees verder "Nieuwe kaarten: MBO en Voortgezet Onderwijs – Eerste veilige onderwijsinstelling op de kaart!"
Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites
Het kost ten minste twee miljoen om te mogen versleutelen, maar de kosten voor bijbehorend arbeid verveelvoudigt dat. Gelukkig is de transitie naar gratis certificaten in volle gang. Dit gaat gepaard met … Lees verder "Publieke sector verspilt jaarlijks miljoenen aan overbodig theater bij versleuteling websites"
Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode.
Vanaf 6 maart is de online basisveiligheid van het hoger onderwijs te zien op basisbeveiliging.nl. Voor universiteiten en het hoger beroepsonderwijs is een afzonderlijke kaart gemaakt en zijn aparte statistieken beschikbaar. Het … Lees verder "Nieuwe kaarten: Hoger Onderwijs. Universiteiten lossen 23% van de hoge risico’s op in de aanloopperiode."
Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet
Op 20% van de onderzochte overheidsdomeinen staat een cookiebanner (394 van de 1911). Er wordt op meer dan 100 verschillende manieren om toestemming gevraagd, daarna zijn we gestopt met tellen. Per banner … Lees verder "Overheid vraagt op meer dan 100 manieren toestemming voor volgcookies. Cookiebanners misleiden en 30% werkt niet"
De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli
Sinds 7 februari meet basisbeveiliging.nl of e-mailversleuteling voldoet aan de richtlijnen van het NCSC. Deze meting is iets te streng omdat ook DANE als eis is meegenomen. DANE is slechts een overweging … Lees verder "De Helpdesk Aflevering 6: Uitzondering op DANE bij Microsoft tot juli"
Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)
Kleine correctie: er stond dat de meting alleen de richtlijn van het NCSC meten, maar we meten daarbij ook nog of DANE wordt toegepast in dezelfde meting. We zijn aan het kijken … Lees verder "Nieuwe meting: versleutelde e-mail. 56% tot 94% voldoet niet aan de richtlijnen van het NCSC (+DANE)"
Updates Februari 2024
Beter laat dan nooit: Happy new year! Alles dat we in 2023 hebben gedaan staat in het basisbeveiliging jaaroverzicht 2023. Klassement Onlangs is het klassement live gegaan. Hierin kan je doelgroepen met … Lees verder "Updates Februari 2024"
Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…
Vanaf vandaag staat er een klassement op basisbeveiliging.nl. Hierop zie je per meting wie het best en slechtst scoort. Bepaal zelf welke van de 30 doelgroepen je wil vergelijken. Bijvoorbeeld de overheid … Lees verder "Nieuw overzicht: klassement. Vergelijk alle metingen van overheid, zorg, cyber en meer…"
Basisbeveiliging Jaaroverzicht 2023
Samenvatting 2023 is het eerste jaar dat Basisbeveiliging onderdeel is van overheidsbeleid. Hierdoor is het project verder geformaliseerd met o.a. een code of conduct. Formalisering van de stichting is eind 2023 in … Lees verder "Basisbeveiliging Jaaroverzicht 2023"
Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid
Cybersecuritybedrijven zijn de fundering van de Nederlandse online veiligheid. Van de vitale sector tot de rijksoverheid: alle organisaties die iets voor de maatschappij betekenen gebruiken diensten van deze bedrijven. Bijvoorbeeld voor het … Lees verder "Nieuwe kaart: Cybersecuritybedrijven in basis slechter beveiligd dan overheid"
Updates December 2023
Security van Cybersecuritybedrijven De kaart met security van cybersecuritybedrijven staat live. We vonden dat ze op 20 van de 23 metingen op dit moment slechter presteren dan de overheid. We hopen op … Lees verder "Updates December 2023"
Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven
Vanaf 9 november publiceert basisbeveiliging metingen over tracking cookies. Met deze technologie worden bezoekers van websites gevolgd door adverteerders. Om dat te mogen moet een bezoeker expliciet toestemming geven. Bij deze nieuwe … Lees verder "Ongevraagde tracking cookies op hoofdwebsites: 4% bij de overheid en zorg, 20% bij politieke partijen en cybersecuritybedrijven"
7 politieke partijen veiliger, meer dan 100 problemen opgelost
Van de 70 politieke partijen die staan ingeschreven bij de kiesraad doen er uiteindelijk 26 mee aan de Tweede Kamerverkiezingen 2023. De overige partijen hebben we van de kaart gehaald. De samenwerkende … Lees verder "7 politieke partijen veiliger, meer dan 100 problemen opgelost"
Updates November 2023
Nieuwe meting over ongevraagde tracking cookies De nieuwe meting over ongevraagde tracking cookies staat nu online. In het artikel hierover is te lezen dat we honderden van dergelijke cookies hebben gevonden bij … Lees verder "Updates November 2023"
Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende
De verkiezingscampagnes zijn inmiddels in volle gang. Dit jaar doen er 70 partijen mee, waarvan er 64 een website hebben. Vanaf 2 oktober is te zien of al deze websites voldoen aan … Lees verder "Online veiligheid van politieke partijen in beeld gebracht: geen scoort voldoende"