HIS-leverancier sluit MicroHIS-extranet tijdelijk ivm nieuwe Apache kwetsbaarheid
Op 21 maart 2022 kregen huisartsen die het huisartsinformatiesysteem(HIS) MicroHIS gebruiken van HIS-leverancier Dedalus een email met de mededeling dat die het Extranet tijdelijk offline haalde. Als reden gaf men een recent bekend geworden kwetsbaarheid aan in de Apache http Server software(versie 2.4.52 en ouder). Het MicroHIS-Extranet maakt daar gebruik van. De kwetsbaarheid die men opgeeft heeft als code NCSC-20220182. Die code komt van ons Nationaal Cyber Security Centre. Het NCSC schat de kans dat de kwetsbaarheid door een hacker gebruikt wordt als matig, met hoge schade. De kwetsbaarheid stelt een on-geauthenticeerde kwaadwillende op afstand in staat om een denial-of-service te veroorzaken of mogelijk willekeurige code uit te voeren. De kwetsbaarheid met kenmerk CVE-2022-22720 maakt het daarnaast mogelijk om een HTTP request smuggling-aanval uit te voeren. Apache software staat nogal in de belangstelling vanwege een probleem met de Log4j-programmatuur, dat in december 2021 boven water kwam.
Extranet
Op het Extranet ten behoeve van MicroHIS staan een groot aantal handleidingen en extra documenten voor het gebruik van dit HIS. Bovendien gebruikt Dedalus het als extra communicatiekanaal richting de huisarts. Nieuwsberichten die Dedalus per email verstuurt kan men op het Extranet ook terugvinden. De functie van het Extranet Service Centre staat beschreven in het blad SynthesHIS van juni 2013 op pagina 4 en 5 in deze link.
NCSC
De waarschuwing van het NCSC dateert van 18 maart 2022. In het bericht geeft men echter meteen aan dat Apache de kwetsbaarheid inmiddels opgelost heeft in de nieuwste versie van Apache Server. Dat is versie 2.4.53. Zie hiervoor de alinea oplossingen in het bericht van het NCSC. Ook op de website van Apache kan men lezen dat het opgelost is in Apache http Webserver versie 2.4.53.
Apache
Apache HTTP Server is een opensource webserver voor Windows, macOS, Linux en andere Unix-achtige besturingssystemen. De Apache Software Foundation (ASF) bestaat als een non-profit organisatie die zich bezighoudt met het maken van vrije, open source, software. Het is dus geenszins een klassiek ICT-bedrijf. De ASF is de opvolger van de Apache Group en heeft haar vestiging in Delaware in de V.S. De ASF is een decentrale organisatie van ontwikkelaars, die zich bezighouden met het maken van opensourcesoftware. De Apache-projecten worden gekenmerkt door een op samenwerking en consensus gericht ontwikkelproces en het gebruik van een open en pragmatische licentie. Elke project wordt gestuurd door een door de meewerkende ontwikkelaars geselecteerd team van technische experts. De ASF werkt als een meritocratie, wat betekent, dat alleen ontwikkelaars, die actief bijdragen kunnen worden gekozen. Een van de doelen van de ASF is het vrijwaren van de ontwikkelaars van juridische claims.
Wonderlijk
Het verbaast enigszins om in het bericht van Dedalus te lezen dat men het Extranet offline haalt tot een oplossing, patch c.q. update voorhanden is, terwijl zowel het NCSC als de ASF aangeven dat die oplossing inmiddels bestaat. Je zou dan zeggen dat het installeren van nieuwe versie 2.4.53 van Apache http Webserver een fluitje van een cent moet zijn. De vraag is echter of er nog andere argumenten dan de genoemde kwetsbaarheid zijn om het Extranet tijdelijk offline te halen.
W.J. Jongejan, 23 maart 2022
Afbeelding van mrminibike via Pixabay
Recente reacties