Beheer

Security
Citrix

25 Nederlandse organisaties ondanks patchen gehackt via Citrix-lek

Organisaties weten vaak zelf niet dat ze gehackt zijn.

Citrix kantoor in Raleigh, NC © Flickr James Willamor
1 juli 2020

Organisaties weten vaak zelf niet dat ze gehackt zijn.

Nog voor de coronacrisis hield begin dit jaar de Citrix-crisis Nederland in zijn greep. Honderden Nederlandse Citrix-servers bleken namelijk kwetsbaar door een lek in de Application Delivery Controller en het Gateway-product van de leverancier. Halverwege januari verschenen patches voor het gat. Maar een half jaar later blijken 25 organisaties die het lek hadden gedicht, toch gehackt te zijn. En vaak weten ze hier zelf niets vanaf.

Het Citrix-lek was vorig jaar en begin dit jaar groot nieuws. In december werd duidelijk dat de Citrix-omgeving - waarmee bedrijven op afstand werken mogelijk maken - een lek bevatte, maar er was niet direct een patch. Die volgde halverwege januari pas. In de tussentijd werd geadviseerd om de Citrix-servers helemaal af te sluiten. Daardoor konden werknemers niet langer thuiswerken en ontstonden zelfs heuse 'Citrix-files'. 

De patches leken het probleem op te lossen, maar dat is dus niet helemaal het geval. Beveiliger Fox-IT ontdekte dat diverse organisaties alsnog gehackt zijn via het lek, schrijft de Volkskrant. De getroffen organisaties hadden de patches voor het Citrix-lek wel geïnstalleerd, maar deden dat te laat. Cybercriminelen waren al binnengedrongen, waardoor een patch geen bescherming meer bood. De criminelen hadden al een bestand achtergelaten waarmee ze altijd toegang hebben. Via dat achterdeurtje kunnen de hackers vastleggen wie actieve gebruikers zijn, welke applicaties een organisatie gebruikt en of een bedrijf verder te infiltreren is. 

Wereldwijd blijken ruim 2.000 servers een achterdeurtje te bevatten, ontdekte Fox-IT. Het gaat dan bijvoorbeeld om overheidsorganisaties en een website van de Navo. 23 procent van die servers is gepatcht, maar bevat een achterdeurtje. De rest is nog altijd kwetsbaar.

In Nederland gaat het om zeker 25 organisaties, waaronder een bedrijf dat watermerken voor bankbiljetten maakt, een farmaceutisch bedrijf en een organisatie voor gehandicaptenzorg. Hackers en spionagegroepen hebben bij deze bedrijven toegang tot het interne netwerk. In totaal bleken 39 Nederlandse servers een achterdeurtje te bevatten. Ook zijn er 30 Nederlandse organisaties die het lek helemaal niet gedicht hebben.

NCSC scant niet

Critici stellen nu vragen over de rol van het Nationaal Cyber Security Center (NCSC). Deze overheidsorganisatie geeft wel adviezen via zijn website, maar die worden duidelijk niet altijd opgevolgd. Daarnaast scant het NCSC niet zelf om kwetsbare organisaties op te sporen, aangezien dat niet in het takenpakket van de organisatie valt.

Bovendien mag het NCSC alleen de Rijksoverheid, vitale aanbieders en aanbieders van essentiële diensten in Nederland benaderen om te informeren en adviseren. Het gemiddelde mkb-bedrijf valt daar dus niet onder. “Het signaleren en het nemen van passende maatregelen ten aanzien van kwetsbaarheden is primair de verantwoordelijkheid van iedere organisatie zelf”, vertelde een woordvoerder van het NCSC eerder dit jaar aan AG Connect.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.