okt 19, 2022 | Informatiebeveiliging, Software
Wat is er aan de hand?
Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in Apache Common Text. ZorgTTP heeft onmiddellijk geïnventariseerd welke maatregelen te nemen. Omdat niet aan de criteria wordt voldaan waaronder de kwetsbaarheid uitgebuit kan worden bestaat er geen acuut risico op uitbuiting.
Welke acties heeft ZorgTTP ondernomen?
De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.
- Inventarisatie gebruik Apache Common Text (18-10-2022)
- Analyse of wordt voldaan aan de criteria om de kwetsbaarheid uit te buiten (18-10-2022).
- Update Apache Common Text naar versie 1.10.0 (18-10-2022)
Uitkomst van de inventarisatie en daarop volgende analyse is dat het voornaamste criterium voor misbruik de mogelijkheid is om externe input in aanraking te brengen met de kwetsbare component. Dit betekent dat De pseudonimisatiedienst in de componenten PVM (verzendmodule), CMT en DRM (onvangstmodule) wel een kwetsbare versie van Apache Common Text bevat, maar dat:
- De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform niet voldoet aan het criterium om de kwetsbaarheid uit te buiten .
- De PVM en DRM clients voor verzenden en ontvangen van te pseudonimiseren gegevens niet voldoen aan het criterium om de kwetsbaarheid uit te buiten.
- Encryptiedienst TRES niet wordt geraakt door dit incident;
Waarom is CMT niet kwetsbaar?
- Er zijn geen internet-facing componenten die direct benaderbaar zijn of die gebruik maken van Apache Common Text.
Waarom zijn de PVM en DRM niet kwetsbaar?
- De software opereert niet als een server die wacht op binnenkomende verzoeken en voldoet daarmee niet aan de eerder genoemde criteria. De PVM of DRM is dus geen server maar een client, die alleen met ZorgTTP contact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.
Vervolgacties
De volgende acties worden momenteel uitgevoerd
- Update naar Apache Common Text naar versie 1.10.0. Er is sinds 18 oktober 2022 een nieuwe versie de PVM en DRM clients beschikbaar met deze versie. Deze zullen via het reguliere releaseproces beschikbaar worden gesteld.
- Op verzoek kunnen versneld nieuwe versies van de PVM en DRM clients versneld beschikbaar worden gesteld.
Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.
okt 11, 2022 | AVG, Encryptie, Informatiebeveiliging, Nieuws, Privacy, ZorgTTP
Sinds 2018 beveiligt ZorgTTP persoonsgegevens binnen de Europese Database van Terroristen (EDT) van het Nederlands Instituut voor Forensische Psychiatrie en Psychologie (NIFP). De EDT ondersteunt een Europees, wetenschappelijk onderzoek naar de kenmerken en achtergronden van personen die veroordeeld zijn voor terrorisme. Voor de EDT zet ZorgTTP encryptiedienst TRES in, wat staat voor ‘Trusted Reversible Encryption Service’. Met behulp van deze encryptiedienst kunnen gebruikers die over de juiste autorisatie beschikken persoonsgegevens op een veilige wijze encrypteren en decrypteren. TRES is daarmee een voorbeeld van een Privacy Enhancing Technology (PET). Met de verlenging van de overeenkomst is de beveiliging van de persoonsgegevens in de EDT voor ten minste de komende 5 jaren gegarandeerd. Het NIFP kan daarmee op een AVG conforme wijze wetenschappelijk onderzoek doen. Hiermee draagt ZorgTTP haar steentje bij aan een veiligere samenleving.
jul 27, 2022 | Nieuws
De Nederlandse Zorgautoriteit (NZa) is per 1 juli 2022 gestart met een registratieonderzoek om toe te werken naar een toekomstige, passende bekostiging voor eerstelijnsverblijf en Wlz crisiszorg vv (ELV). Het doel van het onderzoek is om de toekomstige bekostiging beter aan te laten sluiten bij de gewenste praktijk. Binnen het eerstelijnsverblijf en Wlz crisiszorg vv zal in de periode van 1 juli tot en met 31 december 2022 een registratieverplichting gaan gelden voor de geselecteerde zorgaanbieders. ZorgTTP heeft in opdracht van de NZa een pseudonimisatieketen ontwikkeld voor het beveiligen van informatie afkomstig van diverse zorgaanbieders. In gezamenlijk overleg tussen de NZa, ICT-leveranciers en ZorgTTP zijn de aanleverspecificaties opgesteld. De ICT-leveranciers testen in augustus 2022 de software, vanaf september kunnen de zorginstellingen hun informatie veilig aanleveren. De zorginstellingen worden in augustus door de NZa per brief geïnformeerd over de aanlevering van gegevens.
apr 1, 2022 | Nieuws
Wat is er aan de hand?
Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in het Spring Core Framework. ZorgTTP heeft onmiddellijk geïnventariseerd welke maatregelen te nemen. Omdat niet aan de criteria wordt voldaan waaronder de kwetsbaarheid uitgebuit kan bestaat er geen acuut risico op uitbuiting.
Welke acties heeft ZorgTTP ondernomen?
De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.
- Inventarisatie gebruik Spring Core framework (31 maart 2022)
- Analyse of wordt voldaan aan de criteria om de kwetsbaarheid uit te buiten (31 maart 2022). Om van kwetsbare blootstelling te spreken moet voldaan worden aan drie voorwaarden, te weten:
- Java 9+
- Tomcat applicatieserver
- In gebruik als .war bestand
- Update CMT met Spring 5.3.18 (31 maart 2022)
Uitkomst van de inventarisatie en daarop volgende analyse is dat:
- Encryptiedienst TRES niet wordt geraakt door dit incident;
- De pseudonimisatiedienst in de componenten PVM, CMT en DRM wel gebruik maakt van een kwetsbare versie van het Spring Core Framework.
- De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform niet voldoet aan de criteria om de kwetsbaarheid uit te buiten.
- De PVM en DRM clients voor verzenden en ontvangen van te pseudonimiseren gegevens niet voldoen aan de criteria om de kwetsbaarheid uit te buiten.
Waarom is CMT niet kwetsbaar?
- Er zijn geen internet-facing componenten die direct benaderbaar zijn of die gebruik maken van de DataBinder methode.
Waarom is de PVM niet kwetsbaar?
- De software opereert niet als een server die wacht op binnenkomende verzoeken en voldoet daarmee niet aan de eerder genoemde criteria. De PVM is dus geen server maar een client, die alleen met ZorgTTPcontact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.
Waarom is de DRM niet kwetsbaar?
- De DRM is net als de PVM geen server maar een client en om dezelfde reden niet kwetsbaar.
Vervolgacties
De volgende acties worden momenteel uitgevoerd
- Er is sinds 31 maart 2022 een nieuwe versie van CMT beschikbaar met Spring versie 5.3.18. Deze zal via het reguliere releaseproces worden opgebracht. Als tijdelijke maatregel in afwachting van de update is Apache Tomcat op 12 april 2022 bijgewerkt naar een versie die een patch bevat voor deze kwetsbaarheid.
- Update naar Spring Core Framework versie 5.3.18 (of hoger) voor alle nieuw uit te geven software.
- Op verzoek kunnen versneld nieuwe versies van de PVM en DRM clients versneld beschikbaar worden gesteld.
Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.
dec 23, 2021 | Informatiebeveiliging, Software
Wat is er aan de hand?
Het Nationaal Cyber Security Center (NCSC) heeft een zogenaamd HIGH/HIGH beveiligingsadvies uitgebracht naar aanleiding van een kwetsbaarheid in Apache Log4J. ZorgTTP heeft onmiddellijk maatregelen genomen en is sinds vrijdag 10 december beschermd tegen misbruik.
Welke acties heeft ZorgTTP ondernomen?
De volgende acties zijn, in lijn met het advies van het NCSC, sinds bekendmaking van de kwetsbaarheid uitgevoerd.
- Inventarisatie gebruik Log4J (10 december)
- Inventarisatie gebruik kwetsbare versie Log4J v2 (10 december)
- Instellen workaround door aanpassing Log4J v2 configuratie (10 december)
- Update CMT met Log4J 2.16.0 (16 december)
- Onderzoek naar de impact van kwetsbaarheid CVE-2021-45046 wijst uit dat er geen extra maatregelen nodig zijn.
- Onderzoek naar de impact van kwetsbaarheid CVE-2021-44832 wijst uit dat er geen extra maatregelen nodig zijn (29 december)
Uitkomst van de inventarisatie is dat:
- Encryptiedienst TRES niet wordt geraakt door dit incident;
- De Centrale Module TTP (CMT) van het ZorgTTP pseudonimisatieplatform gebruik maakt van Log4J v2.
- De client voor verzenden en ontvangen van te pseudonimiseren gegevens maakt gebruik van Log4J v1.2.17, die niet kwetsbaar is voor CVE-2021-44228.
Waarom is de PVM niet kwetsbaar?
De PVM maakt gebruik van versie 1.2.17 van Log4J. De log4j configuratie waarmee ZorgTTP de PVM uitlevert maakt geen gebruik van de JMSAppender of SocketServer. Dat is dan ook de reden dat de kwetsbaarheden CVE-2019-17571 en CVE-2021-4104 geen risico vormen en nu de PVM evenmin kwetsbaar is voor CVE-2021-44228.
De PVM is een client
Omdat de PVM een client is en geen server is deze niet kwetsbaar voor massale uitbuiting door willekeurige en opportunistische aanvallers. Zoals te zien in het diagram voor succesvolle uitbuiting begint de aanval met een HTTP request vanuit de aanvaller aan de kwetsbare software.
Het is niet mogelijk voor een aanvaller de PVM op deze manier te benaderen. De software opereert niet als een server die wacht op binnenkomende verzoeken. De PVM is dus geen server maar een client, die alleen met ZorgTTP contact heeft door dat contact alleen tijdens gebruik zelf actief te leggen.
Waarom is de DRM niet kwetsbaar?
De DRM is net als de PVM geen server maar een client en om dezelfde reden niet kwetsbaar.
Vervolgacties
De volgende acties worden momenteel uitgevoerd
- Update naar een niet-kwetsbare Log4J versie voor alle nieuw uit te geven software.
- Inventarisatie van het gebruik van Log4j in andere, niet productie gerelateerde omgevingen.
Indien u vragen heeft naar aanleiding van bovenstaande dan staan wij u graag te woord. Neem contact met ons op via onze servicedesk.
