Security
  // 6 min. read

Cyberaanvallen door lek in Citrix-server

Waar ging het in hemelsnaam fout? Citrix domineerde het nieuws toen hun beveiligingslek aan het licht kwam. Het ging in het bijzonder om de beveiligingsgevoeligheid van Citrix Application Delivery Controller (ADC) en Citrix Gateway. Rond midden december rapporteerde Positive Technologies over het beveiligingslek aan Citrix. Door het beveiligingslek zouden meer dan 80.000 bedrijven verspreid over 158 landen in een lastige situatie gebracht kunnen worden.

De ernst en duidelijkheid van het bericht waren klaarblijkelijk niet bij iedereen goed aangekomen. Rond half januari werden Nederlandse overheidsinstellingen aangevallen door hackers. Zo werden het Medisch Centrum Leeuwarden en de gemeente Zutphen de dupe van het lek binnen Citrix. Zij waren jammer genoeg niet de enige die geen juiste acties ondernamen na het bericht van Positive Technologies. Zo'n 240 andere Nederlandse bedrijven met de Citrixsoftware namen geen, of te weinig maatregelen en bleven daardoor in de gevarenzone.

Wat is Citrix?

Citrix is een bedrijf dat Server Based Computing en virtual desktops maakt. Citrix heeft een platform, ook wel een digitale werkomgeving, ontwikkeld. Simpel gezegd kun je hun software vergelijken met een Google account. Via dit account kan je inloggen in de interne omgeving van je bedrijf, en heb je toegang tot alle applicaties die je nodig hebt om je werk te verrichten. Hiermee proberen ze de productiviteit op de werkvloer te verhogen en veiligheidsgevaren te detecteren.

De problemen liggen bij Citrix ADC en Citrix Gateway. De belangrijkste taak van de ADC is het verdelen van de zoekopdrachten en informatie-instroom over de servers, zodat de applicaties en andere websites toegankelijk blijven. Citrix Gateway geeft werknemers toegang tot de bedrijfsapplicaties en andere bedrijfsomgevingen op afstand. Dit wordt gebruikt door thuiswerkenden via een VPN. Via het lek kunnen aanvallers toegang krijgen tot het bedrijfsnetwerk.

Volgens de gepubliceerde cijfers van Citrix wordt hun software gebruikt door honderd miljoen mensen, verspreid over 400.000 organisaties. Hiertoe behoren 99% van de Fortune 500 bedrijven. Het Citrix platform wordt bijvoorbeeld ook binnen het leger gebruikt. Je zou er natuurlijk niet aan moeten denken dat door het beveiligingslek vertrouwlijke militaire informatie naar buiten komt.

Citrix logo

De tijdlijn

Het blijft vreemd. Half december komt een bericht over het risico van het platform naar buiten, maar half januari is er nog steeds geen actie ondernomen. Wat is er nu precies in de tussentijd gebeurd? Ik zet het voor je op een rijtje.

17 december 2019 Citrix kreeg bericht van een securitybedrijf dat er een lek was ontdekt en dat ze geen tijd kregen om iets te ontwikkelen om het gat te dichten. Citrix besloot zelf het nieuws naar buiten te brengen. Daarbij voegden ze de optie voor een tijdelijke migratie toe om het lek te sluiten. Een (tijdelijke) migratie houdt in dat alle accounts, documenten en andere werkspecifieke benodigdheden worden overgezet naar een ander domein of server.

De tijdelijke migratie zorgde ervoor dat Citrix kon blijven werken, ook wanneer er op afstand gewerkt werd. Dit gebeurde ondanks de vele nieuwsartikelen die naar buiten kwamen, die stelden dat de migratie niet op alle versies werkte. Als reactie hierop vertelde Fermín Serna (Chief Information Security Officer) dat de migratie wél op alle versies werkte, maar dat eerst twee stappen uitgevoerd moesten worden. Helaas heeft niet elke Citrix-administrator dit gedaan, waardoor veel bedrijven gevaar bleven lopen.

23 december 2019 Het securitybedrijf Positive Technologies brengt het nieuws naar buiten over de beveiligingsproblemen binnen Citrix.

7 januari 2020 Het Internet Storm Center laat weten dat aanvallers actief op zoek zijn naar kwetsbare Citrix-servers, maar ook dat verder nog niet bekend is of er al misbruik van het beveiligingslek is gemaakt.

8 januari 2020 Twee weken lang ging het prima met de tijdelijke migratie-optie die Citrix aanbood. Toch ging het uiteindelijk mis. Op 8 januari kwam het eerste bericht over misbruik van de server naar buiten. Hierin was te zien hoe men in het systeem naar binnen kan komen. Vanaf toen bleven de berichten over misbruik van de server naar buiten komen. Serna (CISO van Citrix) meldde dat wanneer het volledige stappenplan van de tijdelijke migratie gewoon was gevolgd, dit alles voorkomen had kunnen worden.

10 januari 2020 Beveiligingssonderzoekers uit India brengen een rapport uit, waarin duidelijk wordt hoe er precies misbruik kan worden gemaakt van de kwetsbaarheid van de servers. Citrix heeft nog steeds geen update naar buiten gebracht. Veel bedrijven sluiten hun server af, zodat er niet meer op afstand kan worden gewerkt.

11 januari 2020 Citrix laat weten dat de eerste updates verwacht kunnen worden op 20 januari. Inmiddels zijn meer dan 60.000 servers gescand op mogelijke kwetsbaarheid. Van de 60.000 blijken 25.000 een lek te bevatten. Van deze servers met een lek, bevinden 713 zich in Nederland.

16 januari 2020 De Tweede Kamer, andere overheidsinstellingen en Schiphol besloten de Citrix server uit te zetten. Er kon niet meer gewerkt worden vanuit huis, dus iedereen moest naar kantoor komen om zijn of haar werkzaamheden uit te voeren.

19 januari Een dag eerder dan aangekondigd komt Citrix naar buiten met een update voor de versies 11.1 en 12.0. Citrix koos ervoor om als eerste updates te maken voor deze versies, terwijl ze ook versie 10.5, 12.1 en 13.0 hebben. Deze eerste twee versies komen het meest voor onder Citrix gebruikers. Eigenlijk wordt je dus bestraft, en moet je langer wachten op een update, wanneer je je software up-to-date hebt gehouden.

24 januari De updates voor de versies 10.5, 12.1 en 13.0 worden uitgebracht.

bestanden versleutelen

Impact en de gevolgen

Een van de gevolgen van het Citrix beveiligingslek is natuurlijk de lange files op snelwegen, die zelfs in het buitenland de aandacht hebben gekregen. De files ontstonden doordat overheidsinstellingen hun Citrix server uitgezet hadden, waardoor niet meer vanuit huis kon worden gewerkt.

De universiteit van Maastricht was ook veelvuldig in het nieuws. Op 24 december raakten de universiteitssystemen geïnfecteerd met Clop-ransomware. Ransomware kan gezien worden als een soort pakketje, dat hackers gebruiken om programma's uit te schakelen en bestanden te versleutelen. Bestanden van de universiteit werden versleuteld, waarna er om losgeld werd gevraagd. Tijdens de periode werkten veel studenten aan hun scriptie en konden hierdoor geen toegang krijgen tot bepaalde data en hun e-mail. De universiteit liet aan 1Limburg weten dat ze het losgeld gaan betalen. De universiteit heeft maar liefst 197.000 euro aan bitcoins betaald aan de cybercriminelen, waarna op 2 januari de systemen weer naar behoren werkten.

Serna (CISO Citrix) benadrukt wel dat duizenden mensen per dag aan het systeem van Citrix werken, en dat fouten nooit helemaal voorkomen kunnen worden. Fouten zijn nou eenmaal menselijk. Daarnaast heeft Citrix ook een tool ontworpen voor zijn gebruikers. Deze tool scant de server, om te zien of er misbruik is gemaakt van het lek.

Is het te laat?

Vanaf 19 januari was Citrix dagelijks bezig met het uitgeven van updates die het beveiligingslek zouden moeten dichten. In de volgende vier dagen werd voor elke versie een update uitgebracht. Veel bedrijven hebben het systeem inmiddels weer aangezet. Maar is het te laat? Het heeft namelijk geen nut om de deur goed op slot te doen als de inbrekers al binnen zijn. Bedrijven die de software gebruiken zouden de nieuwste versie van Citrix opnieuw moeten downloaden om er zeker van te zijn dat er niemand verborgen zit in het systeem.

Bronnen

Dit artikel is met passie geschreven door Bytecode, een jonge en moderne web agency. Wij laten jou graag zien hoe je de kracht van het internet kunt gebruiken om alles uit jezelf te halen. Dit doen we door bijvoorbeeld dit artikel te schrijven, maar ook door deze inzichten in onze werkzaamheden te verwerken.

Wil je meer over ons weten of kunnen we misschien iets voor je betekenen? Neem gerust contact met ons op of kom een keer langs op de koffie!

We staan voor je klaar

Stuur ons een berichtje

Verzenden