Fox-IT discovers security bugs in Oracle Software

In its latest quarterly Critical Patch Update, Oracle has acknowledged and repaired two security bugs identified by Sjoerd Resink, Senior IT Security Expert at Fox-IT.

The bugs were discovered during one of Fox-IT’s penetration testing assignments in version 10.1.4.3 of Oracle Application Server’s Single Sign-On component.

The first security issue, numbered CVE-2012-3175 by the Common Vulnerabilities and Exposures index, is rated as a 4.3 CVSS risk by Oracle and would allow an attacker to use web applications based on Oracle Application Server as an “open redirect”, i.e. to abuse the public’s confidence in a site to send people a link to a trusted website that would actually result in an automatic redirect to another, potentially malicious, web site. Attackers could also abuse such a vulnerability in specifically targeted phishing attacks (“spear phishing”).

The second bug (CVE-2012-0518), is actually a collection of three “Cross-Site Scripting” or XSS vulnerabilities in Oracle Application Server. It is also risk-rated at 4.3 by Oracle but is potentially more serious (in our opinion, the CVSS vulnerability scoring system tends to under-rate XSS issues). By sending people specially-crafted links to a web application based on Oracle Application Server, attackers can run Javascript code in the context of the vulnerable application. This means that an attacker can control how an application looks, and what an application does, if a user goes to the application through the attacker’s malicious link. It enables attackers to obtain passwords and/or take control of user sessions in the application in whatever way (s)he chooses.

One of the XSS issues is also undetected by Microsoft Internet Explorer’s XSS filtering feature. Another of the 3 XSS issues we reported to Oracle appears to have been first discovered in 2009 by the “Hackers Center Security Group” because it is described accurately on this web page.

Fox-IT recommends that all installations of web applications based on Oracle Application Server be upgraded with the latest Oracle Critical Patch Update as soon as possible.

Mogen we terugslaan?

Nederlandse overheid komt met cyberwetgeving

Terughacken als wapen tegen cybercrime kan niet zonder wettelijke basis. Het werkt wel, mits met de juiste voorwaarden omkleed en alleen als uiterst middel gebruikt, om burgers tegen cybercriminelen te beschermen. Nu is hét moment voor de politiek om problemen en oplossingen in cyberspace in kaart te brengen en zich aan een ‘zeerecht’ voor het internet te wagen, vindt directeur Ronald Prins van Fox-IT. Zijn opinie.

‘Sinds het aantreden van minister Ivo Opstelten van Veiligheid en Justitie in 2010, oefenen de diensten die verantwoordelijk zijn voor de opsporing en vervolging van cybercrime, druk uit om meer bevoegdheden te krijgen om buitenlandse internetcriminelen aan te pakken. Nu exact twee jaar later heeft de, inmiddels demissionair, minister in een brief aan de Tweede Kamer aangekondigd met cyberwetgeving te komen.’ Bij Fox-IT kijken we met belangstelling uit naar deze nieuwe wet. Want ondanks dat we vaak weten waar de buitenlandse servers staan van waaruit cyberaanvallen worden gepleegd, kunnen we nu niets doen zonder wettelijke basis. Nederland ervaart veel overlast van cybercrime. De huidige regelingen om deze groeiende vorm van criminaliteit te handhaven zijn beperkt en niet effectief genoeg om criminelen te stoppen en burgers te beschermen. Het internet is per definitie een terrein dat los van nationale grenzen staat en dat moeten we ook zo houden. Maar het mag niet betekenen dat strafbare feiten zonder consequenties gepleegd kunnen worden. Immers, de slachtoffers zijn échte mensen, met reële schade, en geen virtuele figuren in een virtuele wereld. Wetgeving, vergelijkbaar met het internationaal zeerecht, helpt burgers te beschermen en maakt cybercrime voor daders minder aantrekkelijk.

Wachten op medewerking

Het Bredolab botnet, 2010: via de servers bij een bedrijf in Nederland worden zo’n 30 miljoen geïnfecteerde computers aangestuurd door een crimineel vanuit het buitenland. De Nederlandse politie heeft dit botnet een halt toegeroepen door in te breken op de Nederlandse servers en de functionaliteit van het botnet zelf gebruikt om de besmette computers op te schonen.

Anders ligt het bij de recente uitbraak van het Dorifel-virus: de verdachten zijn niet direct op te pakken. Reden: de politie heeft niet de bevoegdheid om in de buitenlandse computers van cybercriminelen in te breken, bewijsmateriaal te verzamelen en de command and control servers onschadelijk te maken.

Met meer bevoegdheden om de acute dreiging van het recente Dorifelvirus offline te halen, had de politie dit binnen een paar uur kunnen doen. Nu heeft het stopzetten van nieuwe besmettingen dagen moeten duren. Als samenleving vinden we het onacceptabel dat gemeenten, bedrijven en overheidsinstellingen niet meer konden werken omdat het Dorifel-virus zich kon blijven verspreiden. Dit alles alleen doordat een hostingprovider in het buitenland niet direct meewerkte met het verhelpen van het probleem.

Een verzoek naar het buitenland duurt weken zo niet maanden en dat is maar één stap in het onderzoek. Informatie is vaak al weg omdat iedere willekeurige partij in ieder willekeurig land een notice and takedown kan doen of dat de crimineel zelf zijn sporen opruimt. De data op een server wordt steeds vaker versleuteld opgeslagen waardoor een kopie van een server geen tot weinig waarde heeft. Wel zijn gegevens over welke informatie de dader heeft gestolen en wat mogelijk is gebruikt/misbruikt is, alleen beschikbaar op systemen van de aanvaller. Sporen die wijzen naar de dader zijn vaak alleen te achterhalen door in zijn eigen infrastructuur in te breken.

Minister Opstelten erkent dat er behoefte is aan nieuwe regels voor grensoverschrijdende bestrijding en voorkoming van cybercrime. Hij constateert ook dat wetgeving en internationale afspraken zijn achtergebleven. Het is daarom goed te merken dat het vorige Kabinet de samenwerking wil versterken met landen die voorop lopen met cybersecurity. Zoals een aantal Europese landen, de Verenigde Staten, Australië en in Azië bijvoorbeeld Singapore. Maar concrete oplossingen zijn nog niet in zicht. Dat is misschien ook niet zo vreemd als je je bedenkt hoe gevoelig het uitgangspunt van nationale soevereiniteit in sommige landen ligt. Want hoe halen we het in ons hoofd om te gaan grasduinen in computers die in andere landen staan? Volgens mij heeft de angst hiervoor alles te maken met hoe je tegen het internet en zijn grenzen aankijkt. Als een server in de Oekraïne staat, zich alleen op Nederlandse slachtoffers richt, alleen impact in Nederland heeft en vanuit Nederland te bereiken is, dan heeft de Nederlandse justitie er meer zeggenschap over dan het land dat toevallig de stroom voor de server levert. Het is wel een vraag die je per incident goed moet stellen. Betreft het bijvoorbeeld een gehackte server van een keurig Oekraïens bedrijf, dan moet je er een stuk voorzichtiger mee omgaan. In dat geval heb je ook best een goede kans dat het bedrijf na het belletje de server onmiddellijk uitschakelt.

Moeten we andersom tolereren dat buitenlandse politiediensten op computers in Nederland rondkijken? Dat zou dan een logisch gevolg zijn. Als het bijvoorbeeld gaat om een gehuurde virtual private server van zo’n twintig euro per maand, gehuurd door een Oost-Europese criminele organisatie, dan is het verstandig dat het andere land de opsporing zelfstandig afhandelt. Het is natuurlijk wel zo prettig als er op zijn minst een notificatie naar de autoriteiten gaat, dat er een online ‘huiszoeking’ heeft plaatsgevonden.

Rechtshulpverzoeken

Het gaat om bevoegdheden die niet alleen voor Nederland gelden, maar ook de ruimte bieden om ‘niet-identificeerbare’ computers in het buitenland binnen te treden. Nederland is het eerste land dat dit zo expliciet en vergaand in de wet wil regelen. Waarom is het mogen terughacken van belang? Omdat veel digitale delicten alleen digitale sporen achterlaten. Je moet dus ‘door het internet heen kunnen kijken’ om uiteindelijk tot echte identiteit te achterhalen en een verdachte te kunnen aanhouden. Als het een Nederlands spoor betreft, komen we een heel eind. Maar zodra het bijvoorbeeld gaat om een rij aaneengeschakelde proxyservers die uiteindelijk uitkomt in de Oekraïne, ben je op dit moment zeker een aantal weken bezig met rechtshulpverzoeken.

Geen paardenmiddel

In geval van een aanval op de nationale veiligheid, bijvoorbeeld op de vitale infrastructuur in Nederland, ben ik van mening dat het soms nodig is om zonder toestemming van buitenlandse autoriteiten ‘terug te hacken’. Ik realiseer me dat dit een bijzondere bevoegdheid is. Zowel het schenden van privacy als het schenden van de soevereiniteit van andere landen zijn zorgpunten. Ik hoop daarom ook dat daarmee goed rekening wordt gehouden bij het definitief vaststellen van de wet. Het moet in mijn ogen niet zo zijn dat de politie dit paardenmiddel mag inzetten voor elk onderzoek waar het wel ‘handig’ lijkt. Het mag pas ingezet worden als afgewogen is dat minder ingrijpende middelen echt niet werken en een noodzaak voor snel ingrijpen bestaat. Het moet toch mogelijk zijn om in internationaal verband afspraken te maken over het bestrijden van cybercriminaliteit? Vergelijk het met het internationale zeerecht: als een Nederlands schip in internationale wateren wordt aangevallen, komt onze marine ook in actie. Dat zou op internationale internetterritoria ook moeten gelden.’

Ronald Prins,
Directeur Fox-IT