Heb je een Citrix-server? Onderneem de juiste acties!
Je kán het nieuws over Citrix-servers in de afgelopen tijd niet hebben gemist. Een korte samenvatting: vanwege een bug in de software van Citrix werd de noodklok geluid. Heel verontrustend, want het bewuste product is gekoppeld aan het internet. Eerst stelde Citrix een lijst met mitigerende maatregelen op en vervolgens bood het een update. Maar niet iedereen heeft daar iets mee gedaan. En zelfs als je wél alle aanwijzingen hebt opgevolgd, mag je je niet veilig wanen. Als hackers binnen zijn geweest hebben ze wellicht andere routes open kunnen zetten. Tijd om de nodige acties op securitygebied te ondernemen!
‘Vrije toegang’ voor hackers
Doordat de Citrix apparaten aan het internet gekoppeld zijn en kwetsbaar waren, konden hackers daar hun voordeel mee doen. De bug maakte het mogelijk dat zij zich zonder authenticatie toegang konden verschaffen tot bedrijfskritische informatie, dit zouden zomaar gegevens zoals wachtwoorden en privacygevoelige (persoons)gegevens geweest kunnen zijn. Om die reden schakelden veel instanties de Citrix-servers uit voorzorg uit. Zo ook gemeenten en de Tweede Kamer.
Deze maatregel had impact op Nederland. Zo ontstond er een nieuw verkeersfenomeen: de Citrix-file. De waarschuwing luidde dat de files langer dan gebruikelijk konden zijn, omdat ambtenaren door het offline zetten van de Citrix-servers niet meer vanuit huis konden werken.
Zelf aan de slag met het Citrix lek? Bekijk dan de blog van Gianni Castaldi. Met deze blog en tool kun je herkennen of je kwetsbaar bent of niet. Hij stelt in de blog de code ter beschikking en legt uit hoe deze te gebruiken.
Oplossing: ben je nu veilig?
De situatie was ernstig. Het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid gaf dan ook een glasheldere waarschuwing af: op een schaal van 1 t/m 10 werd de kwetsbaarheid van Citrix-servers ingeschat op een 9,8. Een significante ‘score’. Toch troffen veel kwetsbare Nederlandse bedrijven volgens het FD zelfs na de melding van het NCSC (nog) geen maatregelen.
Citrix kwam wél in actie. Inmiddels is er een oplossing voor het probleem: een beveiligingsupdate. Maar zelfs als je deze hebt toegepast, ben je niet per definitie veilig. Want je hebt een tijd lang blootgestaan aan aanvallen. Securitybedrijven en onderzoekers hebben zelfs vastgesteld dat je ervan moet uitgaan dat je server is gecompromitteerd als je de workaround van Citrix niet op tijd hebt toegepast.
Wat moet je nu doen?
We raden je met klem aan om forensisch onderzoek te doen in je eigen omgeving. Alleen zó kun je met zekerheid stellen of hackers wel of niet zijn binnengedrongen in je systeem. Afhankelijk van je bevindingen zou zo’n onderzoek ertoe kunnen leiden dat je een apparaat helemaal opnieuw moet installeren. Omslachtig, maar veiligheid gaat voor.
Heb je de updates en mitigerende maatregelen van Citrix nog helemaal niet toegepast? Doe dit dan direct en ga aan de slag met forensisch onderzoek. In dat geval kun je er namelijk vrij zeker van zijn dat je bent gehackt!
Wij maken organisaties klaar voor de uitdagingen van de toekomst. Zodat zij gemakkelijker hun werk kunnen doen. Overal, altijd en op elk apparaat.
Bezoek de website