Beheer

Security
Citrix

NCSC: veel lakse Citrix-gebruikers al gehackt

Sommige Citrix-gebruikers moeten ervan uitgaan dat ze al gehackt zijn, waarschuwt het NCSC

© Citrix
20 januari 2020

Sommige Citrix-gebruikers moeten ervan uitgaan dat ze al gehackt zijn, waarschuwt het NCSC

De eerste paar patches voor het grote gat in Citrix-servers zijn gisteravond beschikbaar gekomen. Security-orgaan NCSC van de Nederlandse overheid dringt er op aan om deze updates te installeren. Alleen kan die handeling voor sommige gebruikers te laat zijn. Wie niet eerder al Citrix' beperkende maatregelen heeft doorgevoerd, kan er er "redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd", aldus het NCSC.

Het omslagpunt voor het wel of niet gehackt zijn, ligt op 9 januari dit jaar. Toen is namelijk exploitcode voor het grote Citrix-gat (wat Shitrix wordt genoemd) publiekelijk bekend geworden, en zijn hackaanvallen makkelijker mogelijk geworden. Het begin van deze security-affaire ligt in december, toen Citrix beperkende maatregelen aandroeg naar gebruikers om de ontdekte kwetsbaarheid af te dekken. Overigens bleken die zogeheten mitigations niet geheel afdoende te zijn.

Uitgaan van compromittatie

"Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", stelt het Nationaal Cyber Security Centre (NCSC) van het ministerie van Justitie. Deze waarschuwende woorden staan in het nieuwe advies van het security-orgaan voor de overheid. Dat informatiebulletin is gisteravond gepubliceerd na het verschijnen van Citrix' eerste patches voor de grote kwetsbaarheid.

"Het NCSC adviseert om in ieder geval een herstelplan op te stellen zoals uitgelegd in de sectie 'Mogelijke compromittatie' in dit bericht. Daarnaast kunt u nog aanvullende acties ondernemen, zoals beschreven in ons bericht van 17 januari 2020 en in de sectie 'Wat kunt u doen als u gebruikt wilt blijven maken van Citrix?' " Onder de noemer van 'Mogelijke compromittatie' begint het NCSC met het eerder al gegeven advies om Citrix-systemen te ontkoppelen van internet. Gebruikers zoals ministeries, gemeenten en onderwijsinstellingen hebben deze drastische maatregel al genomen, wat flinke gevolgen heeft voor werknemers, werk en zelfs fileverkeer.

Opnieuw installeren

Na de eerste stap van offline halen, adviseert het NCSC om de systemen forensisch te laten onderzoeken. Vervolgens is herinstallatie van de Citrix-systemen vereist, en die dan direct te voorzien van de mitigations én patches - voor zover die al beschikbaar zijn dus. Terwijl de eerste patches zondagavond 19 januari zijn uitgebracht, komt de rest volgens planning op vrijdag 24 januari. Het wordt níet geadviseerd om eerder dienst doende Citrix-servers weer in gebruik te nemen.

Tot slot draagt het NCSC nog aan om monitoringmaatregelen te implementeren om mogelijk nieuw of toekomstig misbruik van de kwetsbaarheid te kunnen detecteren. "Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie." Voor organisaties die gebruik willen - of effectief: moeten - blijven maken van Citrix draagt de cybersecuritycentrum informatie aan over testtools, over verwachte patches van leverancier Citrix, over monitoring- en detectiemogelijkheden, over beperkende maatregelen en over het controleren van logbestanden.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.