Gaat Citrix het beveiligingslek overleven?
Het Amerikaanse bedrijf Citrix brengt vandaag een eerste software update uit voor het ernstige lek waarmee kwaadwillenden zeer eenvoudig een bedrijfsnetwerk kunnen binnendringen en daarmee vervolgens kunnen doen wat ze willen. Zoals het installeren van ransomware. Maar wat betekent het incident voor Citrix zelf?
Het Medisch Centrum Leeuwarden (MCL), één van de grootste ziekenhuizen van Nederland, moest vanwege een mogelijke aanval op de Citrix-servers een dezer dagen al het dataverkeer met de buitenwereld afsluiten. Patiënten konden daardoor niet bij hun elektronisch patiëntendossier.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid adviseerde, mede op basis van informatie van inlichtingendienst AIVD, bedrijven en instanties daarop om uit voorzorg de Citrix servers uit te zetten. Een oproep waaraan Schiphol, diverse ministeries, de Tweede Kamer en verschillende onderwijsinstellingen en gemeenten meteen gehoor gaven.
Citrix is al tientallen jaren de de facto standaard voor het op afstand werken. In feite krijgen werknemers dezelfde werkomgeving te zien als ze op kantoor gewend zijn, maar dan virtueel. Feitelijk zitten ze echter te werken op een server binnen hun bedrijf.
Citrix maakte op 17 december zelf bekend dat er een lek zit in hun software en wel in Application Delivery Controller en de Gateway. Het beveiligingslek zorgt ervoor dat kwaadwillenden zeer eenvoudig een Citrix-server kunnen binnendringen en daarmee vervolgens kunnen doen wat ze willen. Een oplossing was niet meteen voorhanden.
Citrix heeft nu een aantal definitieve software updates aangekondigd die tot 31 januari worden uitgerold. Anders dan links en rechts wordt gesuggereerd, is het probleem daarmee vandaag nog niet opgelost.
Citrix vindt dat het de gebruikelijke procedure heeft gevolgd. De tijdelijke oplossing die werd aangeboden is volgens Jeroen van Rotterdam, vice president engineering, ‘absoluut’ voldoende.
Beveiligingsexpert Ronald Prins vindt van niet. Bij Nieuwsuur vertelde hij: ‘Normaal wordt met de onderzoeker die het lek heeft ontdekt afgesproken om het lek pas bekend te maken als er een goede oplossing is. Maar Citrix heeft nu snel een halve oplossing gemaakt en die naar buiten gebracht. Daarmee is in het nieuws gekomen dat er een groot probleem was en konden onderzoekers en kwaadwillenden achterhalen wat precies dit grote probleem is.’
Het gevaar dat hackers alvast achterdeurtjes hebben ingebouwd om later terug te keren is niet ondenkbeeldig. De eerste pogingen daartoe zijn al gedocumenteerd.
De kwetsbaarheid werd qua ernst door NCSC dan ook ingeschaald op een 9,8 op een schaal van 1 tot en met 10. Meer dan 700 Nederlandse servers zijn kwetsbaar voor hackers door het Citrix-lek, blijkt uit een inventarisatie van Bad Packets.
Toegegeven: nergens heeft het incident zoveel publiciteit opgeleverd als in Nederland. Het federale Computer Emergency Response Team, de operationele dienst van het Centrum voor Cybersecurity België (CCB), ging met haar advies minder ver dan zijn Nederlandse evenknie. In de VS schrijft eigenlijk alleen de vakpers er over. Niet dat het lek daarmee minder ernstig is. De meeste brakke Citrix servers staan in de VS (9800), Duitsland (2510) en het VK (iets meer dan 2000). Wereldwijd lopen 85.000 servers gevaar.
Maar het is ook bepaald niet het eerste incident bij Citrix. Vorig jaar moest het bedrijf toegeven, nadat de FBI Citrix hierover had gewaarschuwd, dat hackers van oktober 2018 tot maart 2019 hadden rondgeneusd in haar eigen IT systemen. De door Iran gesteunde hackersgroep Iridium heeft zelfs al jarenlang toegang tot de systemen van Citrix, beweerde beveiligingsfirma Resecurity. Dat bedrijf heeft de softwaremaker gewaarschuwd over de ongeautoriseerde toegang die de hackers zich al bijna tien jaar lang verschaften tot de systemen van Citrix.
Uit de summiere mededelingen op haar eigen site en sociale media blijkt dat het bedrijf zelf liefst zo weinig mogelijk ruchtbaarheid wil geven aan het incident. Op haar site geeft Citrix Nederland nog altijd hoog op van de ‘veilige gebruikerstoegang’ en het ‘gebruik geavanceerde (van) analytics en inzicht om aanvallen op tijd te stoppen’.
Citrix maakt deze week zijn kwartaalcijfers bekend. Een grote invloed zal de hack op die cijfers nog niet hebben. Citrix sluit met bedrijven doorgaans langjarige abonnementen af. Maar bij de evaluaties zullen, zeker bij vitale organisaties, de veiligheidsrisico’s van Citrix servers zeker tegen het licht worden gehouden.
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
2 Reacties
Tim
We kunnen de schuld wel allemaal bij Citrix neerleggen. Maar hoe zit het ondertussen met overheidsinstanties en hun inzicht binnen de IT.
Als de betreffende Netscalers up-to-date worden gehouden had je dit hele probleem simpelweg gewoon niet gehad als overheidsinstelling.
Word er dan met geld gestrooid voor een omgeving die werkt. Maar zit er vervolgens niemand op de positie die enige controleslag kan doen en know-how heeft van de IT.
Dan heeft de IT partner dus vrijspel om lekker veel geld te verdienen maar aan niemand de verantwoording te hoeven afleggen. En als er dan zoiets gebeurd de schouders optillen en kunnen zeggen. Tjah, hier kunnen wij niks aan doen.
Het word eens tijd dat de overheid zijn schouders zet onder deze terugkerende problemen en budget vrijmaakt voor de juiste mensen op de juiste plek.
Pierre
Het is al jaren een probleem in NL dat de verkeerde mensen op belangrijke posities in de overheid zitten, de IT problemen zijn legio en er worden gigantische bedragen uitgegeven voor systemen die niet of onvoldoende functioneren.
Ook bij de lagere overheden lopen ze achter de feiten aan en maken ze gebruik van oude softwarepakketten zoals windows7 en zijn er overheids instellingen die nog steeds niet digitaal kunnen communiceren met de burgers.
Soms maar steeds vaker denk ik dat ik in een bananen republiek leef waar de corruptie en vriendjes politiek hoogtij viert, we zien het nu maar weer ik de belastingdienst.