Beveiligingsonderzoekers van SEC Consult hebben twee kwetsbaarheden ontdekt in het electronic IDentification, Authentication and trust Service (eIDAS)-authenticatiesysteem van de EU. De bugs stellen aanvallers in staat zich voor te doen als EU-burgers of bedrijven.
Er is inmiddels een patch vrijgegeven voor het eIDAS-systeem, die de twee beveiligingsfouten herstelt, aldus ZDNet. Een update van het betreffende eIDAS-Node-softwarepakket (v2.3.1) werd deze week uitgebracht, samen met een beveiligingsadvies dat lidstaten aanspoort om eIDAS-Node bij te werken.
Grensoverschrijdende elektronische transacties
De EU stelde in 2014 eIDAS in om regeringen, burgers en bedrijven van de EU-lidstaten in staat te stellen grensoverschrijdende elektronische transacties uit te voeren. Het gaat dan om transacties die geverifieerd kunnen worden met officiële databases in elk land. De oorsprong van de transactie doet er in deze niet toe.
Het authenticatiesysteem is een zeer complex, cryptografisch beveiligd elektronisch systeem voor het beheer van elektronische transacties en digitale handtekeningen tussen EU-lidstaten, burgers en bedrijven.
eIDAS-Node
Overheidsorganisaties gebruiken het officiële softwarepakket eIDAS-Node op hun servers, wat hen helpt bij het ondersteunen van eIDAS-transacties met hun privédatabases. Het systeem heeft een cruciale rol en kwetsbaarheden zijn dus uit den boze, helemaal als deze in staat zijn te knoeien met officiële digitale EU-transacties. Denk dan bijvoorbeeld aan belastingbetalingen, bankoverschrijvingen en goederenzendingen.
Vervalsen certifcaten
De onderzoekers ontdekten dat de huidige versie van het eIDAS-Node-pakket certificaten voor eIDAS-operaties niet kan valideren. Hierdoor is het voor aanvallers mogelijk om een certificaat van een andere eIDAS-burger of bedrijf te vervalsen. Het enige wat een aanvaller nodig heeft om een aanval uit te voeren, is het tot stand brengen van een verbinding met een eIDAS-Node-server van een willekeurige lidstaat. Daarbij moet de aanvaller vervalste certificaten leveren tijdens het initiële authenticatieproces.
“Wij hebben deze aanval zelf aangetoond in onze opstelling met behulp van de applicatie van de Europese Commissie. Daarom verwachten we over het algemeen dat deze aanval mogelijk is. We hebben echter geen gedetailleerde informatie over de configuratie of aanvullende beveiligingsmaatregelen van de ingezette productiesystemen en kunnen daarom geen informatie geven over welke lidstaat in welke mate is getroffen”, zegt Wolfgang Ettlinger, Senior Security Consultant bij SEC Consult aan ZDNet.
Vooralsnog weigert de Connect-divisie van de Europese Commissie publiekelijk commentaar te geven. Technische details over de twee kwetsbaarheden zijn beschikbaar in het beveiligingsadvies van SEC Consult.