Ministers gaven toestemming voor advies Citrix uit te schakelen
Minister Grapperhaus van Justitie en Veiligheid en minister Knops van Binnenlandse Zaken hebben het Nationaal Cyber Security Centrum (NCSC) toestemming gegeven om het advies uit te brengen waarin het uitschakelen van Citrix-systemen werd aangeraden.
Dat laten de bewindslieden in een brief aan de Tweede Kamer weten. De brief bevat een overzicht van de belangrijkste feiten en ontwikkelingen met betrekking tot de kwetsbaarheid in Citrix. Eén van de onderwerpen is het advies van het NCSC. Zo stelde de overheidsdienst op 16 januari, mede op basis van informatie van specialisten, dat de tussentijdse mitigatiemaatregelen van Citrix onvoldoende bescherming boden.
Volgens Citrix konden organisaties zich via deze maatregelen beschermen tegen aanvallen in afwachting van een beveiligingsupdate. Het softwarebedrijf stelde vervolgens dat alleen bij bepaalde versies de mitigatiemaatregelen niet werkten. Het NCSC liet echter weten dat alle versies risico liepen. Tevens adviseerde de overheidsdienst om het uitschakelen van Citrix-systemen te overwegen.
"Op 17 januari 2020 heeft de NCTV een overleg belegd met alle departementen over de ontstane situatie. Diezelfde dag bracht de AIVD een beveiligingsadvies uit. Op basis van de op dat moment beschikbare informatie is door ons akkoord gegeven aan het NCSC om het dringende advies uit te brengen aan Rijksoverheid en het advies aan vitale organisaties om de Citrix-systemen uit te schakelen tot het moment dat een sluitende oplossing beschikbaar is", aldus Grapperhaus en Knops.
Naar aanleiding van de opschaling op 17 januari door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het overleg tussen de bewindspersonen, zijn de departementen gevraagd om Citrix-systemen uit te schakelen, tenzij aan drie voorwaarden kon worden voldaan. Op basis hiervan hebben de overheidsorganisaties bij het Rijk vervolgens zelf een risicoafweging gemaakt over het al dan niet uitschakelen van de betreffende Citrix-systemen. Later wijzigde het NCSC het advies waarin stond dat de mitigatiemaatregelen van Citrix niet werkten.
Verder stellen de ministers dat het NCSC doorlopend met Citrix contact heeft gehad over de ontwikkelingen. De lessen die uit incident zijn geleerd zullen worden meegenomen in de kabinetsreactie op het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over het voorbereiden op digitale ontwrichting. Naast de brief aan de Tweede Kamer vindt er vandaag ook een technische briefing over het Citrix-lek plaats.
Het had m.i. echter beter eerder genomen kunnen worden.
Het had m.i. echter beter eerder genomen kunnen worden.
Fan zal je feitelijk moet afwachten totdat de volgende uitvoering van code gebeurt en je ook nog compleet waarneemt.
Je weet sowieso al niet wanneer die gaat verschijnen.
Aangezien de geplaatste hacks vele niet meteen uitgenut worden weet je dus ook niet hoe lang je daadwerkelijk wilt gaan wachten.
Wat betekent dat afwachten tot er code uitgevoerd kon nou werkelijk?
En welke code?
Met dat afwachten kan je dus werkelijk alle richtingen op.
Jij denkt dat hier niet hééél hard naar gezocht/gekeken wordt?
Jij denkt dat hier niet hééél hard naar gezocht/gekeken wordt?
Door wie zou dat moeten gebeuren? Door beheerders die hebben geleerd op yes en no te drukken tijdens het uitvoeren van installatiescripts? Professionals die dit goed kunnen zijn duur en schaars. Scriptkiddies laten vaak een hoop troep achter, maar ervaren criminelen wissen hun sporen. Als zij user-ID's en wachtwoorden/wachtwoordhashes en/of private keys hebben kunnen afkijken (*), kunnen ze al hun sporen hebben gewist - en later terugkomen; zelfs een professionele forensisch expert zou dan wel eens niets kunnen vinden (binnen een redelijke tijd). Ik ben benieuwd hoeveel organisaties, veiligheidshalve, alle wachtwoorden (ook interne) en VPN-(achtige)-credentials hebben gereset.
(*) Ik weet niet hoe het op Citrix gatways zit, maar op Sophos (voorheen Astaro) UTM's staan vaak alle OpenVPN-clients met attached private key (of die componenten als losse bestanden) voor download klaar.
Je kunt natuurlijk checken met een tool zoals beschreven in https://www.security.nl/posting/640540/Citrix+lanceert+gratis+tool+voor+detectie+gecompromitteerde+systemen, maar die had je dan meteen na publicatie moeten draaien. De slimmere criminelen die nog "actieve achterdeurtjes" op systemen hebben, bekijken dat soort tools natuurlijk ook, waardoor dit een kat-en-muis spelletje wordt - vooral als die gateways al weer lang en breed aan internet hangen.
Maar, zoals Anoniem van 16:50 schrijft, als er op een later moment ongewenste dingen gebeuren, en de organisatie de beveiliging sowieso al niet zo goed op orde had, bestaat de kans dat je nooit kunt achterhalen hoe en wanneer de "feitelijke inbraak" plaatsvond.
Met "afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren op Citrix gateways" bedoelde ik echter niet dat "afwachten" een goed idee is. Je moet procedures op de plank hebben liggen die beschrijven wat je moet doen bij incidenten waaronder gepubliceerde kwetsbaarheden. Als je op dat moment moet gaan onderhandelen en risico's inschatten die je baseert op vage berichtgeving en onderbuikgevoelens, kun je er donder op zeggen dat de weegschaal in een deel van de gevallen de verkeerde kant op slaat. En dan zul je inderdaad moeten "afwachten" of er alsnog ongewenste dingen gebeuren.
Ik heb gevallen langs zien komen waarbij aangetoond is dat criminelen code hebben kunnen uitboeren.
En dan kun je dit dus ook niet meer uitsluiten.
De eerste gedachte was dat de workaround zou werken. Pas toen bleek dat daar ook een probleem in zat, is besloten om het advies uit te brengen.
En over het zoeken van de compromises:
Het is een BSD-based omgeving. In de meeste gevallen word Citrix gebruikt om toegang te krijgen tot Windows systemen. Die organisaties hebben vaak niemand die overweg kan met de BSD CLI, laat staan dat ze voldoende kennis hebben om op zoek te gaan naar BSD backdoors.
Peter
- De mitigerende maatregelen , in de vorm van een global responder policy, werkte gewoon (op bepaalde 12.x build na want daar zat weer een bug in waardoor global responder policy's niet werkte). Het is hierbij wel van belang dat je die maatregelen voor januari 2020 hebt geïmplementeerd.
- Als je de responder policy (de mitigerende maatregel) goed bekijkt zie je ook dat deze een 403 antwoord geeft als er /../ en/of /vpns/ in de aangesproken URL voorkomt (het lek was immers een directory traversal).
- Dit had je uitvoerig kunnen testen mits je snapt wat er gebeurd.
- Heb je de maatregelen pas in januari toegepast ? Dan heb je pech en is uitzetten op zich geen verkeerde actie. Je moet er dan wel vanuit gaan dat je systemen niet meer te vertrouwen zijn dus patchen heeft dan geen zin maar een schone herinstallatie met de fixed build wel.
- Daarnaast betrof het dus geen Citrix Servers maar een Netscaler / ADC lek. Netscalers / ADC worden vaak ingezet als Citrix Gateway met ICA Proxy (Wat vroeger secure gateway was) i.c.m. Storefront etc. En daarnaast load-balancer met al dan niet pre-authentication oplossingen voor het ontsluiten van Interne webdiensten. En nog vele andere functies. Het is dus een multifuntioneel apparaat.
- Bij een beetje secure deployment zet je altijd je netscaler(s) in het DMZ met daarvoor een Next-Gen firewall. Een beetje Next-Gen firewall heeft IPS/IDS en als die up to date zijn had je al IPS rules moeten hebben die de aanvallen blokkeert.
Ik vond het nieuws iig. verwarrend en heb bovenstaande verhaal aan iedereen zo goed mogelijk uitgelegd. Ik blijf erbij dat, indien je pas in januari 2020 de mitigerende maatregelen hebt toegepast, je alsnog je systemen grondig moet nakijken op indications of compromised. Indien je zelf 100% overtuigd bent dat je niet compromised bent kun je de fixed patches toepassen. Indien je enigzins twijfelt zou ik een compleet schone installatie doen op basis van de fixed builds van Citrix.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.