image

Honderden Nederlandse Citrix-servers kwetsbaar voor aanvallen

maandag 13 januari 2020, 09:40 door Redactie, 17 reacties

Onderzoekers hebben in Nederland honderden Citrix-servers ontdekt die kwetsbaar zijn voor aanvallen en aanvallers zoeken inmiddels actief naar kwetsbare machines. Wereldwijd gaat het om meer dan 25.000 Citrix-servers die risico lopen. De servers zijn kwetsbaar door een beveiligingslek in de Citrix Application Delivery Controller (ADC) en Citrix Gateway die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway.

Via het beveiligingslek kan een aanvaller op afstand willekeurige code op het systeem uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Citrix maakte het beveiligingslek op 17 december bekend, maar een beveiligingsupdate is nog niet beschikbaar gemaakt. Wel kunnen organisaties maatregelen nemen om aanvallen te voorkomen.

Onderzoekers van securitybedrijf Bad Packets besloten meer dan 60.000 Citrix-servers te scannen om te kijken welk deel daarvan kwetsbaar is. De scan leverde meer dan 25.000 unieke servers op. Bijna tienduizend daarvan bevinden zich in de Verenigde Staten. In Nederland werden 713 kwetsbare machines geteld. Via de kwetsbaarheid is het mogelijk om organisaties met ransomware te infecteren. Exploits om misbruik van de kwetsbaarheid te maken zijn inmiddels online verschenen.

De kwetsbare Citrix-servers werden bij Fortune 500-bedrijven, overheidsinstanties, banken, ziekenhuizen en energiemaatschappijen aangetroffen. Onderzoeker Troy Mursch van Bad Packets zegt dat hij de informatie met overheidsinstanties wereldwijd heeft gedeeld, waaronder het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid.

Image

Reacties (17)
13-01-2020, 10:14 door Anoniem
man man en maar praten we zijn veilig . in nl......
13-01-2020, 10:46 door Anoniem
Door Anoniem: man man en maar praten we zijn veilig . in nl......

Ik sta daar ook elke keer weer van te kijken hoe laks (clueloos?) sommige beheerders zijn. En echt niet alleen op Citrix. Sommige bedrijven hebben zo'n gatenkaas dat je het idee krijgt dat ze het oplaten knappen door de buurjongen omdat die toevallig een X-box heeft en goed spelletjes kan spelen.
13-01-2020, 11:02 door Anoniem
En dan doet men het volgende ook nog niet

Zorg dat al je software en systemen gepatcht zijn met de laatste beveiligingsupdates.
Veel ransomware maakt gebruik van gekende kwetsbaarheden in populaire software om op een netwerk in te breken.
Gebruik geen standaardwachtwoorden en activeer tweestapsverificatie waar mogelijk.
Zo beperk je de bewegingsruimte van de aanvaller in het geval hij toch op je netwerk is binnengedrongen.
Maak regelmatig back-ups van je data.
Heeft ransomware je data ontoegankelijk gemaakt, dan helpt een recente back-up om niet te moeten betalen.
Zorg dat die back-up offline wordt bewaard, zodat hij niet mee wordt versleuteld door de ransomware.

Quote-Info credits go to Techzine/Crowdstrike

Neen de helft meer betalers in geval van een ransomware infectie. Mooi ga je.

J.O.
13-01-2020, 11:03 door Anoniem
Het is nog steeds niet verboden om kwetsbare servers in de lucht te houden. Het allerergste wat er kan gebeuren is dat persoonsgegevens op straat komen te liggen en je een vingerwijzing van de AP krijgt.
13-01-2020, 11:23 door Anoniem
Zie ook de advisory verstrekt door het Nederlands Cyber Security Centrum (NCSC):

https://advisories.ncsc.nl/advisory?id=NCSC-2019-0979
13-01-2020, 11:59 door Anoniem
Ik hoop dat de dienstverleners aan de overheid iig hun zaken op orde hebben.
13-01-2020, 12:59 door Anoniem
Door Anoniem:
Door Anoniem: man man en maar praten we zijn veilig . in nl......

Ik sta daar ook elke keer weer van te kijken hoe laks (clueloos?) sommige beheerders zijn.
Niet alleen de beheerders. Zolang bedrijven niet willen betalen voor lifecycle management, update management, uptodate cmdb, security op applicatie niveau en applictie eigenaarschap. Zullen deze processen er niet of nauwelijks zijn, gevolg men weet niet wat waar geïnstalleerd is welke versie en of er een lek in zit.
13-01-2020, 15:55 door Anoniem
Bij veel organisaties waar ik kom hebben ze echt een tekort aan bekwame netwerk/systeem beheerders. Vooral rond de kerstperiode dat dit uit kwam. Maar eigenlijk moet je in deze situaties alles uit je handen laten vallen en mitigerende maatregelen gaan nemen tot de juiste patches uit komen. Helaas leveren deze uren vaak geen geld op of zijn ze lastig in te plannen.
13-01-2020, 16:16 door Anoniem
zou mooi zijn als het NCSC alle adressen van die kwetsbare dozen omzet naar contactgegevens, en de beheerders een piepje geeft dat ze 3 dagen hebben om te fixen, en anders volgt een shutdown van de doos, of de toegang ernaar toe via een upstream provider.
het zijn er maar 700, dat is te doen.
of open een website die mijn ipadres leest ,en direct aangeeft of ik tot de unlucky-few behoor. daarmee kan een eindgebruiker zijn systeembeheerder controleren.
13-01-2020, 21:17 door Anoniem
Zelf heb ik bij J&V gewerkt en de CISO negeerde mijn commentaar toen ik zei dat hun servers 'insecure' zijn.

Het niveau van deze organisaties is niet omhoog te rammen. Domme directeuren en domme CISO's, terwijl de architecten hun haren uit het hoofd trekken van frustratie.
13-01-2020, 21:39 door Anoniem
Door Anoniem: zou mooi zijn als het NCSC alle adressen van die kwetsbare dozen omzet naar contactgegevens, en de beheerders een piepje geeft dat ze 3 dagen hebben om te fixen, en anders volgt een shutdown van de doos, of de toegang ernaar toe via een upstream provider.
het zijn er maar 700, dat is te doen.
of open een website die mijn ipadres leest ,en direct aangeeft of ik tot de unlucky-few behoor. daarmee kan een eindgebruiker zijn systeembeheerder controleren.

Kijk hier eens:

https://www.us-cert.gov/ncas/current-activity/2020/01/13/cisa-releases-test-citrix-adc-and-gateway-vulnerability

Hier de code om te testen of je kwetsbaar bent:

https://github.com/cisagov/check-cve-2019-19781
13-01-2020, 23:41 door Anoniem
Door Anoniem:
Door Anoniem: man man en maar praten we zijn veilig . in nl......
Ik sta daar ook elke keer weer van te kijken hoe laks (clueloos?) sommige beheerders zijn.
Er is nog geen pleister voor, dus die beheerders kunnen nog niets 'repareren', de reparatiekit is er nog niet.
14-01-2020, 06:01 door Anoniem
Nou ik weet al welke dienstverlener nu helemaal in de stress zit. En dat is niet zo gek natuurlijk als je alle goede mensen als groot vuil behandeld en eruit gooit.

Er lachen nu heel wat Citrix beheerders in hun vuistje. Nou ik neem nog een ijsje.
14-01-2020, 07:42 door Anoniem
hoe kun je controleren welke bedrijven hier onder vallen?
14-01-2020, 09:15 door Anoniem
Door Anoniem: Ik hoop dat de dienstverleners aan de overheid iig hun zaken op orde hebben.
Ik hoop ieder oudjaar weer dat ik de 32 miljoen in de oudejaarsloterij win.
14-01-2020, 09:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: man man en maar praten we zijn veilig . in nl......
Ik sta daar ook elke keer weer van te kijken hoe laks (clueloos?) sommige beheerders zijn.
Er is nog geen pleister voor, dus die beheerders kunnen nog niets 'repareren', de reparatiekit is er nog niet.

Stekker eruit zou ik zeggen. Risico is te groot.
19-01-2020, 13:37 door Anoniem
Ik denk dat veel beheerders heel goed in staat zijn om beheer te plegen op hun systemen, maar dat wil zeker niet zeggen dat ze dat ze dermate diepgaande kennis hebben om alle mogelijke gevaren te kunnen herkennen én hebben ook niet de tijd om daar full time mee bezig te zijn. Dit is een apart vakgebied waar je specialisten aan moet zetten en organisaties moeten niet zomaar denken, dat doet een systeembeheerder er wel even bij!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.