Overslaan en naar de inhoud gaan

NCSC: veel lakse Citrix-gebruikers al gehackt

De eerste paar patches voor het grote gat in Citrix-servers zijn gisteravond beschikbaar gekomen. Security-orgaan NCSC van de Nederlandse overheid dringt er op aan om deze updates te installeren. Alleen kan die handeling voor sommige gebruikers te laat zijn. Wie niet eerder al Citrix' beperkende maatregelen heeft doorgevoerd, kan er er "redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd", aldus het NCSC.
Citrix secure your business
© Citrix
Citrix

Het omslagpunt voor het wel of niet gehackt zijn, ligt op 9 januari dit jaar. Toen is namelijk exploitcode voor het grote Citrix-gat (wat Shitrix wordt genoemd) publiekelijk bekend geworden, en zijn hackaanvallen makkelijker mogelijk geworden. Het begin van deze security-affaire ligt in december, toen Citrix beperkende maatregelen aandroeg naar gebruikers om de ontdekte kwetsbaarheid af te dekken. Overigens bleken die zogeheten mitigations niet geheel afdoende te zijn.

Uitgaan van compromittatie

"Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uit gaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", stelt het Nationaal Cyber Security Centre (NCSC) van het ministerie van Justitie. Deze waarschuwende woorden staan in het nieuwe advies van het security-orgaan voor de overheid. Dat informatiebulletin is gisteravond gepubliceerd na het verschijnen van Citrix' eerste patches voor de grote kwetsbaarheid.

"Het NCSC adviseert om in ieder geval een herstelplan op te stellen zoals uitgelegd in de sectie 'Mogelijke compromittatie' in dit bericht. Daarnaast kunt u nog aanvullende acties ondernemen, zoals beschreven in ons bericht van 17 januari 2020 en in de sectie 'Wat kunt u doen als u gebruikt wilt blijven maken van Citrix?' " Onder de noemer van 'Mogelijke compromittatie' begint het NCSC met het eerder al gegeven advies om Citrix-systemen te ontkoppelen van internet. Gebruikers zoals ministeries, gemeenten en onderwijsinstellingen hebben deze drastische maatregel al genomen, wat flinke gevolgen heeft voor werknemers, werk en zelfs fileverkeer.

Opnieuw installeren

Na de eerste stap van offline halen, adviseert het NCSC om de systemen forensisch te laten onderzoeken. Vervolgens is herinstallatie van de Citrix-systemen vereist, en die dan direct te voorzien van de mitigations én patches - voor zover die al beschikbaar zijn dus. Terwijl de eerste patches zondagavond 19 januari zijn uitgebracht, komt de rest volgens planning op vrijdag 24 januari. Het wordt níet geadviseerd om eerder dienst doende Citrix-servers weer in gebruik te nemen.

Tot slot draagt het NCSC nog aan om monitoringmaatregelen te implementeren om mogelijk nieuw of toekomstig misbruik van de kwetsbaarheid te kunnen detecteren. "Vergeet hierbij niet de systemen die verbonden zijn geweest met de kwetsbare systemen gedurende het tijdsvenster van compromittatie." Voor organisaties die gebruik willen - of effectief: moeten - blijven maken van Citrix draagt de cybersecuritycentrum informatie aan over testtools, over verwachte patches van leverancier Citrix, over monitoring- en detectiemogelijkheden, over beperkende maatregelen en over het controleren van logbestanden.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in