Ga naar inhoud

Lek in eIDAS-node maakte EU-burgers kwetsbaar voor id-fraude


Aanbevolen berichten

Een ernstig beveiligingslek in de software die EU-landen voor grensoverschrijdende authenticatie gebruiken maakte het mogelijk voor aanvallers om zich als willekeurige EU-burgers uit te geven, zo stelt securitybedrijf SEC Consult dat de kwetsbaarheid ontdekte.

EIDAS-node is software waarmee EU-lidstaten kunnen deelnemen aan de EU-verordening elektronische identiteiten en vertrouwensdiensten (eIDAS). Het doel van deze verordening is betere publieke en private onlinediensten en elektronische handel binnen Europa. Ook regelt eIDAS het grensoverschrijdend gebruik van elektronische identificatiemiddelen en vertrouwensdiensten tussen de lidstaten van de Europese Unie.

Elke lidstaat heeft zijn eigen methode om burgers te authenticeren. EIDAS verbindt deze nationale eID-systemen. Zo moet het straks mogelijk worden dat Nederlandse burgers zich dankzij eIDAS met DigiD bij de diensten van een buitenlandse overheid kunnen authenticeren. SEC Consult ontdekte een kwetsbaarheid in het systeem waardoor een aanvaller zich als een willekeurige EU-burger had kunnen uitgeven.

Wanneer bijvoorbeeld een Italiaanse burger zich bij een Duitse onlinedienst wil authenticeren, zal de betreffende webapplicatie de Duitse eIDAS-node het authenticatieproces laten starten. De Duitse eIDAS-node stuurt een verzoek naar de Italiaanse eIDAS-node. Deze node stuurt de gebruiker door naar een systeem dat Italiaanse burgers via hun nationaal eID-systeem laat authenticeren. Na de authenticatie ontvangt de Duitse eIDAS-connector de informatie van de Italiaanse burger en stuurt die door naar de webapplicatie van de Duitse onlinedienst.

EIDAS maakt gebruik van SAML voor de communicatie tussen de eIDAS-conncector en eIDAS-service (die samen de eIDAS-node vormen). Nadat de gebruiker succesvol is geauthenticeerd, wordt er een SAML-antwoord naar de eIDAS-node gestuurd die het verzoek deed. Om de authenticiteit van de SAML-response te verifiëren controleert de eIDAS-node een digitale handtekening en het certificaat dat voor het signeren is gebruikt.

Deze certificaatcontrole bleek tekort te schieten, waardoor een aanvaller een gemanipuleerd SAML-antwoord met een vervalst certificaat kon signeren dat vervolgens werd geaccepteerd. De leverancier van eIDAS-node werd op 4 juli van dit jaar geïnformeerd en rolde kort daarna een update uit voor de lidstaten. De gepatchte versie 2.3.1 is vandaag openbaar gemaakt voor het publiek.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.