- Door
- Jeroen Mulder
- geplaatst op
- 27 januari 2017 08:00 uur
Er zijn wereldwijd nog steeds een kleine 200.000 systemen die niet gepatched zijn en daarmee kwetsbaar voor Heartbleed. Zoekmachine Shodan publiceerde afgelopen weekend een rapport waaruit bleek dat in de VS ruim 40.000 servers nog vatbaar zijn voor de bug die in 2014 voor de nodige paniek zorgde. Heartbleed maakt gebruik van een lek in OpenSSL waardoor man-in-the-middle-aanvallen mogelijk zijn. Direct na de publicatie van de bug, werd een patch uitgebracht in versie 1.0.1g.
Maar volgens Shodan is er nog steeds groot aantal hosts waarop de oude OpenSSL-versie draait, zonder de patch. Het overgrote deel daarvan staat in de VS – en om het verhaal nog completer te maken, een groot deel van die servers draait in AWS. Daarmee is een zwak punt van public cloud – maar ook van unmanaged hosting in het algemeen – direct aangetoond: wie is verantwoordelijk voor het patchen van servers?
Bij managed services besteedt een klant dat uit. Sterker: in de SLA’s wordt afgesproken dat servers regelmatig worden gepatched. Veel managed providers hebben een actief beleid op gebied van security patching: als een bepaalde threat de gehele infrastructuur van een provider bedreigt, dan zullen veruit de meeste providers direct patchen. In hosting en public cloud werkt dit anders. Vaak zijn de klanten hier zelf verantwoordelijk voor patchen van hun servers.
In Nederland bieden hosters soms Patchman aan, betaald of als onderdeel van de hostingservice. Patchman controleert systemen als WordPress, Drupal of Joomla! op malware, veiligheidslekken en verouderde software. Als Patchman een veiligheidsrisico signaleert, dan dicht het systeem het risico direct als tijdelijke maatregel. De klant zelf moet dan de server verder controleren en eventueel software updaten. AWS biedt deze service pas sinds 21 december 2016 aan, als onderdeel van EC2 Systems Manager. AWS kondigde overigens tegelijkertijd managed services aan.
Maar over het algemeen is de klant verantwoordelijk voor zijn eigen servers. Zeker binnen AWS. Waar een hoster nog een reminder kan sturen met de constatering dat een server niet is gepatched (en kan aanbieden om dit voor de klant te doen), doet Amazon dit niet. Probleem is dat in AWS veel servers wel zijn aangemaakt, maar er vervolgens niet meer naar wordt omgekeken. Vergeten servers. De vraag is of dit een verstandige policy is. Of zouden providers ook bij unmanaged varianten moeten patchen bij kritische kwetsbaarheden? Als een unmanaged server nu eens gebruikmaakt van dezelfde storagefaciliteit als de gemanagede servers? Dan is het risico op een breach via zo’n ongepatchte server behoorlijk.
Providers zouden hier voor moeten waken en altijd actief moeten patchen bij veiligheidslekken. Het patchen van frameworks zoals OpenSSL of besturingssystemen zou inbegrepen moeten zijn. De klant zou contractueel verplicht moeten worden om ernstige lekken direct te repareren als servers op gedeelde platformen staan of de provider zou te allen tijde het recht moet hebben om direct te patchen.
Overigens heeft Nederland blijkbaar haar zaakjes best goed voor elkaar. We staan niet in de top tien van Shodan. Frankrijk en Duitsland wel op respectievelijk de vierde en vijfde plaats.