zondag 2 februari 2020, 13:44 BRON: security.nl
Onbekende aanvallers zijn erin geslaagd om een groot aantal organisaties via het beveiligingslek in Citrix te compromitteren, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laten weten. Een exact aantal wordt echter niet genoemd.
Het gaat om organisaties die de beschikbare mitigatiemaatregelen van Citrix niet op tijd hebben doorgevoerd. “Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits”, zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen.
Het CISA waarschuwt dat het installeren van de beschikbaar gemaakte beveiligingsupdates niet voldoende is om al gecompromitteerde systemen te herstellen. “Zodra aanvallers toegang hebben verkregen blijven ze aanwezig, ook al is de originele aanvalsvector gesloten”, aldus de Amerikaanse overheidsdienst. Het CISA heeft daarom technische details en andere informatie gegeven waarmee organisaties kunnen controleren of ze gecompromitteerd zijn. Eerder werd al bekend dat aanvallers het Citrix-lek gebruiken om organisaties met ransomware te infecteren en systemen met cryptominers te besmetten.
BRON: security.nl
Ons advies is om nooit zomaar iets opnieuw in te richten, zonder dat forensisch onderzoek is uitgevoerd. Heeft u het vermoeden dat u slachtoffer bent geworden naar aanleiding van deze kwetsbaarheid of dat uw organisatie is gehackt? Neem dan contact op met het NFIR Incident Response team (088 – 323 0205)
Een aanvaller kan op het moment dat een Citrix-omgeving nog niet geüpdatet is, misbruik maken van de Citrix-omgeving, zonder dat hierbij aanvullende informatie zoals inloggegevens vereist zijn. Daarnaast kan een aanvaller het interne netwerk dat zich achter de Citrix-omgeving bevindt, aanvallen en zich toegang verschaffen tot gevoelige systemen.
Wanneer u een nieuwe Citrix-installatie inricht en daarbij de door Citrix beschikbaar gestelde updates uitvoert, heeft u voldoende maatregelen getroffen. Echter, wanneer het een Citrix-omgeving betreft die niet op tijd (voor 8 januari 2020) voorzien is van de beveiligingsupdates, adviseren wij u forensisch onderzoek te laten uitvoeren om uit te sluiten dat de machine(s) gecompromitteerd zijn.
Op het moment dat uw organisatie de updates niet op tijd (voor 8 januari 2020) heeft toegepast, is het belangrijk forensisch onderzoek te laten uitvoeren naar het mogelijk getroffen Citrix-systeem. Daarnaast is het belangrijk in kaart te brengen welke systemen (mochten) communiceren met het getroffen Citrix-systeem om vervolgens preventief SSL-certificaten en wachtwoorden te resetten.
Indien uw organisatie niet voor 8 januari 2020 de beschikbaar gestelde updates heeft uitgevoerd op uw Citrix-systeem, of dit systeem heeft een van de versie-nummers die door Citrix is bestempeld als kwetsbaar, dient u er vanuit te gaan dat uw Citrix-omgeving gecompromitteerd is. Het is op dat moment belangrijk om forensisch onderzoek te laten uitvoeren. Als aanvullende maatregel is het belangrijk om netwerkmonitoring toe te passen om het netwerkverkeer te monitoren. Eventuele aanvallers worden hierdoor veel sneller gesignaleerd op het netwerk.
Citrix crisis: Mitigerende maatregelen blijken niet te werken
De citrix crisis duurt voort, mitigerende maatregelen blijken niet in alle gevallen te werken – het NCSC adviseert om aanvullende maatregelen te treffen.
Door: Mischa Rick van Geelen
Security Monitoring laten implementeren?
onze volledig geautomatiseerde oplossing waarbij u zelf geen data meer interpreteert.
Wat is Security Monitoring?
Security monitoring houdt in het monitoren van het netwerkverkeer en analyseren van logbestanden om daarmee dreigingen, kwetsbaarheden en cyberaanvallen vroegtijdig te kunnen ontdekken. NFIR biedt een volledig geautomatiseerde oplossing, zodat u zelf geen data meer behoeft te interpreteren. Via een dashboard kan u alle meldingen inzien en actie ondernemen indien nodig.
Hoe wordt het netwerkverkeer gemonitord?
NFIR Insights, onze security monitoringsdienst, analyseert alle data van de aangesloten detectie bronnen en toont die verwerkte data in een gemakkelijk te interpreteren dashboard-omgeving. De security-monitoring specialisten van NFIR verwerken de ontvangen log-gegevens geautomatiseerd op basis van use-cases, die samen met de klant worden bepaald. Bij het monitoren van netwerkverkeer komt alle informatie, inclusief meldingen omtrent een verdachte activiteit, in een dashboard terecht. Zo bent u snel op de hoogte van activiteiten op uw netwerk en kunt u adequaat ingrijpen bij verdachte activiteiten.
Hoe kan monitoring security helpen bij de beveiliging van mijn netwerk?
Het monitoren van uw netwerk kan helpen bij het vroegtijdig ontdekken van kwaadaardig gedrag. Als u uw netwerk wilt beschermen, kunt u het beste beginnen met het monitoren van uw netwerk. U krijgt inzicht in uw netwerk, u bent snel op de hoogte van verdachte activiteiten en u kunt adequaat ingrijpen als een verdachte situatie zich voordoet.
Op basis waarvan ontwikkelt NFIR haar monitoringsdienst?
De security-monitoring specialisten van NFIR zijn elke week bezig met de ontwikkeling van het Insights platform. Zij verwerken de informatie afkomstig van apparaten in uw netwerk en analyseren deze met behulp van machinelearning en beproefde detectieregels.
Uit welke bronnen haalt NFIR de informatie voor het dashboard?
Diverse detectiebronnen kunnen worden aangesloten op NFIR Insights. U kunt hierbij denken aan IDS sensoren, firewall logs, vulnerabilitiy scanners (extern/intern), endpoint oplossingen en dergelijke.