Logo Parlement Buxellois

Schriftelijke vraag betreffende het PwnKit-beveiligingslek (onder Linux) en de gevolgen van dit lek voor de gemeentelijke en gewestelijke IT

Indiener(s)
Emin Özkara
aan
Bernard Clerfayt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Werk en Beroepsopleiding, Digitalisering, Plaatselijke Besturen en Dierenwelzijn (Vragen nr 900)

 
Datum ontvangst: 17/02/2022 Datum publicatie: 18/03/2022
Zittingsperiode: 19/24 Zitting: 21/22 Datum antwoord: 15/03/2022
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
23/02/2022 Ontvankelijk Uitgebreid Bureau van het Parlement
 
Vraag   

Op 17 februari 2022 wil ik u vragen naar het recent ontdekte PwnKit beveiligingslek (CVE-2021-4034) onlangs ontdekt. Zonder in te gaan op technische overwegingen die te vinden zijn op deze url : https://www.tenable.com/cve/CVE-2021-4034 deze twaaljarige grote kwetsbaarheid . zou het mogelijk maken root-privileges te verkrijgen op machines met een besturingssysteem van de Linux-familie.

Ik zou u de volgende vragen willen stellen in verband met lokale en regionale IT:

  1. Op hoeveel machines draait momenteel een Linux-besturingssysteem?

  2. Welke maatregelen zijn genomen om het gewestelijke en gemeentelijke IT-systeem te beschermen tegen misbruik van deze kwetsbaarheid?

  3. Welke maatregelen zijn genomen om het effect van patches op de prestaties en de veiligheid van het systeem te meten?

  4. Welke tegenmaatregelen zijn er genomen om de veiligheid, de integriteit, de vertrouwelijkheid en de beschikbaarheid van gegevens te waarborgen?

  5. Welke stappen zijn ondernomen om de gevaren van dit beveiligingslek uit te leggen aan IT-managers en gebruikers?

 
 
 
Antwoord    1/
In februari 2022 telde het CIBG 1.253 Linux-servers, waarvan +/- 95% virtuele servers en +/- 5% fysieke servers.


2/
Ondanks het feit dat de kwetsbaarheid “PwnKit” (CVE-2021-4034) als kritiek wordt beschouwd, door het feit dat zij een onrechtmatige uitbreiding van toegangsrechten redelijk gemakkelijk mogelijk maakt en dat de tool “PwnKit” standaard geïnstalleerd is op de belangrijkste Linux-distributies, kan de kwetsbaarheid enkel worden gebruikt door een aanvaller die reeds interne toegang tot een kwetsbare machine heeft. Met andere woorden, je moet al toegang tot een machine hebben om de kwetsbaarheid vervolgens te kunnen gebruiken, wat het risico op een aanval sterk vermindert.

Bovendien worden, in het kader van het proces voor het beheer van de kwetsbaarheid binnen het CIBG, systematisch intern en extern kwetsbaarheidsscans uitgevoerd. Er werden ons geen kwetsbaarheden gemeld in de ICT-infrastructuur van het CIBG die onder deze preventieve maatregel valt.

De verschillende eigenaren van kwetsbare machines wordt echter regelmatig verzocht hun machines te updaten met de pakketten die deze CVE (Common Vulnerabilities and Exposures) corrigeren. Het CIBG beschikt over de tools om dit pakket massaal te updaten op de betrokken machines.

3/
Alle patches worden altijd op acceptatie getest vooraleer ze in productie gaan.


4/
De huidige technische (zoals firewalls, isolatie van de omgeving, antivirus, enz.) en organisatorische beveiligingsmaatregelen die door het CIBG in het Gewestelijke Datacenter worden toegepast, alsook de regelmatige update van de patches voor de besturingssystemen en VM's (virtuele machines), volstaan momenteel om een adequate gegevensbescherming te waarborgen.

Een andere reeds bestaande preventieve maatregel is de twee-factor-authenticatie. Dit veiligheidsproces is de norm geworden voor elke nieuwe toepassing van het CIBG.

5/
Om de in punt 2 vermelde redenen werd tot dusver geen specifieke mededeling over de beveiliging in verband met deze kwetsbaarheid gepubliceerd.

Het CIBG laat zich echter niet onbetuigd en communiceert regelmatig met zijn gebruikers en gewestelijke IT-verantwoordelijken over informatiebeveiliging en maakt hen daarvan bewust. De aanbevolen boodschap voor dit soort kwetsbaarheid die periodiek wordt doorgegeven aan de IT-teams van de gewestelijke instellingen, luidt: “Zorg ervoor dat uw systemen altijd zijn bijgewerkt met de meest recente beveiligingsupdates en volg de instructies van uw leveranciers van besturingssystemen en VM’s op.”