...

Gevoelige kwetsbaarheid Citrix actief misbruikt door internetcriminelen

Inhoud

Een kwetsbaarheid in verschillende Citrix-oplossingen, vaak wel de thuiswerkomgeving voor grotere organisaties genoemd, blijkt actief door internetcriminelen misbruikt te worden om in te breken op bedrijfsnetwerken. Citrix heeft nog altijd geen oplossing voor het probleem vrijgegeven. Daarom is het mogelijk misbruik van de zwakheid te maken.

Mogelijkheden voor criminelen

Met de kwetsbaarheid, door onderzoekers ook wel CitrixMash genoemd, is het voor een aanvaller mogelijk om zonder inloggegevens toegang te verkrijgen tot een Citrix omgeving welke op het internet is aangesloten.

Nog geen oplossing voor Citrix-klanten

De kwetsbaarheid op 17 december 2019 kenbaar gemaakt op de support website van Citrix (https://support.citrix.com/article/CTX267027). Door Citrix is er nog altijd geen patch die het probleem definitief verhelpt waardoor verschillende grote organisaties kwetsbaar zijn.

Om welke producten gaat het?

De kwetsbaarheid bevindt zich in de door Citrix ontwikkelde Application Delivery Controller (ADC), NetScaler en de Citrix Gateway oplossingen en is van toepassing op alle versies van 10.5, 11.1, 12.0, 12.1 tot en met 13.0.

Wel is er door Citrix op 11 januari 2020 een zogenoemde ‘Fix Timeline’ gepubliceerd waarin aangegeven wordt welke versie op welk moment een patch kan verwachten. De eerste fix wordt pas verwacht vanaf 20 januari voor een van de versies van Citrix (versie 11.1). De patches voor andere versies worden later in januari verwacht.

Aanvallen in Nederland mogelijk

Onderzoekers van het NFIR CERT hebben onderzoek gedaan naar verschillende kwetsbare Citrix servers in Nederland middels open bronnen. Daarbij is vastgesteld dat van de 5800 publiek geidentificeerde Citrix-omgevingen in Nederland, 1300 tot op heden kwetsbaar zijn voor aanvallen van buiten met deze nieuwe kwetsbaarheid.

Mitigerende maatregelen

Totdat de updates voor de verschillende kwetsbare versies van Citrix-omgevingen worden uitgegeven wordt door Citrix en het NCSC aangeraden om zogenoemde noodmaatregelen te treffen om aanvallen te voorkomen – deze noodmaatregelen zorgen ervoor dat de kwetsbaarheid niet langer te misbruiken valt.

Hierbij dienen de volgende stappen genomen te worden om de Citrix omgevingen te beschermen:

  1. Breng in kaart welke direct vanaf het internet benaderbare Citrix-omgevingen binnen de organisatie aanwezig zijn
  2. Voer de mitigerende maatregelen welke door Citrix afgegeven zijn uit op elke Citrix-server waarop de kwetsbaarheid van toepassing is.
  3. Start de Citrix-omgeving opnieuw op om de mitigerende maatregelen toe te passen

Meer informatie over deze noodmaatregelen kan gevonden worden op https://support.citrix.com/article/CTX267679

Heeft u vermoeden dat u slachtoffer bent geworden naar aanleiding van deze kwetsbaarheid of heeft u het vermoeden dat uw organisatie gehackt is? Neem dan contact op met het NFIR Incident Response team

Beveiligingsincident? Maak kennis met incident response

Ons incident response team is 24/7 beschikbaar om elk cyber incident in kaart te brengen en op te lossen.
  • Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
  • Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
  • Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.

Het team van NFIR bestaat uit een team van digitaal forensische onderzoekers, ethisch hackers en team leads die veel ervaring hebben met cyber security incident response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incidents. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.

Wij staan voor communiceren in duidelijke taal met onze klanten. Op die wijze rapporteren wij ook onze bevindingen. Daarnaast ambiëren wij de aanpak ‘meten is weten’, waardoor wij u, met behulp van verschillende soorten onderzoek, gericht kunnen helpen. Bij de aanpak hoort ook dat onze diensten doorontwikkeld worden. Hierdoor blijven onze diensten aansluiten bij de veranderende praktijk.

NFIR staat voor het bieden van technische én organisatorische ondersteuning, security diensten en trainingen. Met onze kennis en ervaring kunnen wij u van technisch advies voorzien en geven wij u advies omtrent de procedures en processen van informatiebeveiliging. Door NFIR in te schakelen, wordt u op meerdere vlakken geholpen de weerbaarheid van de cyber security van uw organisatie te vergroten.

Meer informatie

SECURITY INCIDENT BIJ UW ORGANISATIE?

De volgende 30 minuten zijn van cruciaal belang​!

De eerste 30 minuten na een cyber security incident zijn cruciaal, omdat een snelle en adequate reactie de schade kan beperken. Daarnaast kan verdere verspreiding van de aanval worden voorkomen en kan essentieel bewijsmateriaal veiliggesteld worden voor nader onderzoek.

Ons Computer Emergency Response Team (CERT) staat 24/7 klaar om bedrijven en organisaties te ondersteunen bij IT-beveiligingsincidenten.

Heeft uw bedrijf professionele hulp nodig bij een beveiligingsincident? 

* LET OP: Wij werken uitsluiten voor bedrijven en organisaties.