Geen impact Text4shell kwetsbaarheid op ZorgTTP dienstverlening

Geen impact Text4shell kwetsbaarheid op ZorgTTP dienstverlening

Wat is er aan de hand?

Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in Apache Common Text. ZorgTTP heeft onmiddellijk geïnventariseerd welke maatregelen te nemen. Omdat niet aan de criteria wordt voldaan waaronder de kwetsbaarheid uitgebuit kan worden bestaat er geen acuut risico op uitbuiting.

Welke acties heeft ZorgTTP ondernomen?

De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.

  1. Inventarisatie gebruik Apache Common Text (18-10-2022)
  2. Analyse of wordt voldaan aan de criteria om de kwetsbaarheid uit te buiten (18-10-2022).
  3. Update Apache Common Text naar versie 1.10.0 (18-10-2022)

Uitkomst van de inventarisatie en daarop volgende analyse is dat het voornaamste criterium voor misbruik de mogelijkheid is om externe input in aanraking te brengen met de kwetsbare component. Dit betekent dat De pseudonimisatiedienst in de componenten PVM (verzendmodule), CMT en DRM (onvangstmodule) wel een kwetsbare versie van Apache Common Text bevat, maar dat:

  • De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform niet voldoet aan het criterium om de kwetsbaarheid uit te buiten .
  • De PVM en DRM clients voor verzenden en ontvangen van te pseudonimiseren gegevens niet voldoen aan het criterium om de kwetsbaarheid uit te buiten.
  • Encryptiedienst TRES niet wordt geraakt door dit incident;

 Waarom is CMT niet kwetsbaar?

  • Er zijn geen internet-facing componenten die direct benaderbaar zijn of die gebruik maken van Apache Common Text.

Waarom zijn de PVM en DRM niet kwetsbaar?

  • De software opereert niet als een server die wacht op binnenkomende verzoeken en voldoet daarmee niet aan de eerder genoemde criteria. De PVM of DRM is dus geen server maar een client, die alleen met ZorgTTP contact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.

Vervolgacties

De volgende acties worden momenteel uitgevoerd

  • Update naar Apache Common Text naar versie 1.10.0. Er is sinds 18 oktober 2022 een nieuwe versie de PVM en DRM clients beschikbaar met deze versie. Deze zullen via het reguliere releaseproces beschikbaar worden gesteld.
  • Op verzoek kunnen versneld nieuwe versies van de PVM en DRM clients versneld beschikbaar worden gesteld.

Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.

 

15 november update CMT- en TRES-platform

15 november update CMT- en TRES-platform

 

Dinsdag 15 november worden tussen 17.00 en 18.00 uur de maandelijkse OS-updates op onze servers van het CMT (Centrale Module TTP) en het TRES-platform opgebracht. Hierdoor zullen CMT en TRES binnen genoemde tijdspanne kortstondig niet bereikbaar zijn.

De planning m.b.t. de Linux/Windows updates voor 2022 is

  • 20 december 2022

Aan het begin van iedere maand wordt de definitieve datum bekend voor de betreffende maand en deze wordt dan op onze website gepubliceerd.

Nederlands Instituut voor Forensische Psychiatrie en Psychologie verlengt overeenkomst met ZorgTTP

Sinds 2018 beveiligt ZorgTTP persoonsgegevens binnen de Europese Database van Terroristen (EDT) van het Nederlands Instituut voor Forensische Psychiatrie en Psychologie (NIFP). De EDT ondersteunt een Europees, wetenschappelijk onderzoek naar de kenmerken en achtergronden van personen die veroordeeld zijn voor terrorisme. Voor de EDT zet ZorgTTP encryptiedienst TRES in, wat staat voor ‘Trusted Reversible Encryption Service’. Met behulp van deze encryptiedienst kunnen gebruikers die over de juiste autorisatie beschikken persoonsgegevens op een veilige wijze encrypteren en decrypteren. TRES is daarmee een voorbeeld van een Privacy Enhancing Technology (PET). Met de verlenging van de overeenkomst is de beveiliging van de persoonsgegevens in de EDT voor ten minste de komende 5 jaren gegarandeerd. Het NIFP kan daarmee op een AVG conforme wijze wetenschappelijk onderzoek doen. Hiermee draagt ZorgTTP haar steentje bij aan een veiligere samenleving.

Storing DIS-portal verholpen

De op 29 september ontstane storing op de DIS-portal is verholpen en het is dus weer mogelijk om met de PVM DIS informatie aan de NZa aan te leveren