image

'Certificaten en sleutels van kwetsbare Citrix-systemen gestolen'

woensdag 22 januari 2020, 12:06 door Redactie, 5 reacties

Er is een grote waarschijnlijkheid dat aanvallers van kwetsbare Citrix-systemen tls-certificaten en bijbehorende sleutels hebben gestolen, waardoor het mogelijks is om versleutelde tls-verbindingen af te luisteren en manipuleren. Daarvoor waarschuwt Nederlands Security Meldpunt vandaag.

Het Nederlands Security Meldpunt bestaat uit vrijwilligers die eigenaren van Nederlandse netwerkblokken en websites informeren over zaken die bij het meldpunt worden gemeld. Onderzoekers van het meldpunt hebben de afgelopen dagen naar kwetsbare Citrix-systemen gescand. In de nacht van 9 op 10 januari werden ruim 700 kwetsbare systemen geïdentificeerd. Daarvan bleken er meer dan 450 zogeheten wildcardcertificaten te gebruiken.

Een wildcardcertificaat maakt het mogelijk om via één tls-certificaat alle subdomeinen van een domein, zoals voorbeeld.example.tld, van een versleutelde verbinding te voorzien. Dit moet het gebruik van https vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart tls-certificaat hoeven aan te vragen. "Er is een grote waarschijnlijkheid dat Citrix Application Delivery Controllers waarop op of na 9 januari 2020 geen mitigatie is toegepast, zijn overgenomen en dat daarbij het tls-certificaat en de bijbehorende sleutel is buitgemaakt", zo laat het Nederlands Security Meldpunt weten.

Daardoor is er een risico dat een aanvaller met tls versleutelde verbindingen naar systemen van de betreffende organisatie kan onderscheppen, zonder dat gebruikers hiervan een melding krijgen. Met deze certificaten en bijbehorende sleutels zijn verschillende aanvallen mogelijk, zoals man-in-the-middle-aanvallen en phishing. De certificaten zijn niet alleen op het betreffende Citrix-systeem te gebruiken, maar ook op andere systemen.

Afhankelijk van de gebruikte Citrix-versie en ingestelde mitigatie wordt organisaties aangeraden hun tls-certificaten te controleren en wanneer nodig te vervangen en de oude certificaten in te laten trekken. "Indien u, met hoge mate van zekerheid, heeft kunnen (laten) uitsluiten dan het systeem gecompromitteerd is, dan raden wij u nog steeds aan het wildcardcertificaat te vervangen door een niet wildcardvariant on een soortgelijk risico in de toekomst te vermijden", aldus het advies van het Nederland Security Meldpunt. De organisatie heeft het Nationaal Cyber Security Centrum (NCSC) al ingelicht en zal nu proberen alle partijen in kwestie te informeren.

Reacties (5)
22-01-2020, 12:29 door Anoniem
Elke nobody die wat aandacht wilt brengt ineens press-releases uit.
Sneu
22-01-2020, 13:37 door Anoniem
Oeps ... Ik denk dat dit een "severity score 10/10" krijgt van het NCSC ...
Uitstekend werk van het Nederlands Security Meldpunt.
22-01-2020, 13:40 door Anoniem
Ho even ik dacht het niet.voor tls3 gelden?
22-01-2020, 14:07 door Erik van Straten
Door Anoniem: Elke nobody die wat aandacht wilt brengt ineens press-releases uit.
Sneu
Moderatoren van security.nl die elke echte nobody een podium geven - dat is pas sneu.
24-01-2020, 17:56 door Anoniem
Goeie post.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.