NCSC: veel lakse Citrix-gebruikers al gehackt

Het omslagpunt voor het wel of niet gehackt zijn, ligt op 9 januari dit jaar. Toen is namelijk exploitcode voor het grote Citrix-gat (wat Shitrix wordt genoemd) publiekelijk bekend geworden, en zijn hackaanvallen makkelijker mogelijk geworden. Het begin van deze security-affaire ligt in december, toen Citrix beperkende maatregelen aandroeg naar gebruikers om de ontdekte kwetsbaarheid af te dekken. Overigens bleken die zogeheten mitigations niet geheel afdoende te zijn.

Uitgaan van compromittatie

"Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", stelt het Nationaal Cyber Security Centre (NCSC) van het ministerie van Justitie. Deze waarschuwende woorden staan in het nieuwe advies van het security-orgaan voor de overheid. Dat informatiebulletin is gisteravond gepubliceerd na het verschijnen van Citrix' eerste patches voor de grote kwetsbaarheid.

"Het NCSC adviseert om in ieder geval een herstelplan op te stellen zoals uitgelegd in de sectie 'Mogelijke compromittatie' in dit bericht. Daarnaast kunt u nog aanvullende acties ondernemen, zoals beschreven in ons bericht van 17 januari 2020 en in de sectie 'Wat kunt u doen als u gebruikt wilt blijven maken van Citrix?' " Onder de noemer van 'Mogelijke compromittatie' begint het NCSC met het eerder al gegeven advies om Citrix-systemen te ontkoppelen van internet. Gebruikers zoals ministeries, gemeenten en onderwijsinstellingen hebben deze drastische maatregel al genomen, wat flinke gevolgen heeft voor werknemers, werk en zelfs fileverkeer.

Opnieuw installeren

Na de eerste stap van offline halen, adviseert het NCSC om de systemen forensisch te laten onderzoeken. Vervolgens is herinstallatie van de Citrix-systemen vereist, en die dan direct te voorzien van de mitigations én patches - voor zover die al beschikbaar zijn dus. Terwijl de eerste patches zondagavond 19 januari zijn uitgebracht, komt de rest volgens planning op vrijdag 24 januari. Het wordt níet geadviseerd om eerder dienst doende Citrix-servers weer in gebruik te nemen.

Tot slot draagt het NCSC nog aan om monitoringmaatregelen te implementeren om mogelijk nieuw of toekomstig misbruik van de kwetsbaarheid te kunnen detecteren. "Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie." Voor organisaties die gebruik willen - of effectief: moeten - blijven maken van Citrix draagt de cybersecuritycentrum informatie aan over testtools, over verwachte patches van leverancier Citrix, over monitoring- en detectiemogelijkheden, over beperkende maatregelen en over het controleren van logbestanden.