image

VS: groot aantal organisaties gecompromitteerd via Citrix-lek

zondag 2 februari 2020, 13:44 door Redactie, 13 reacties

Onbekende aanvallers zijn erin geslaagd om een groot aantal organisaties via het beveiligingslek in Citrix te compromitteren, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laten weten. Een exact aantal wordt echter niet genoemd.

Het gaat om organisaties die de beschikbare mitigatiemaatregelen van Citrix niet op tijd hebben doorgevoerd. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen.

Het CISA waarschuwt dat het installeren van de beschikbaar gemaakte beveiligingsupdates niet voldoende is om al gecompromitteerde systemen te herstellen. "Zodra aanvallers toegang hebben verkregen blijven ze aanwezig, ook al is de originele aanvalsvector gesloten", aldus de Amerikaanse overheidsdienst. Het CISA heeft daarom technische details en andere informatie gegeven waarmee organisaties kunnen controleren of ze gecompromitteerd zijn. Eerder werd al bekend dat aanvallers het Citrix-lek gebruiken om organisaties met ransomware te infecteren en systemen met cryptominers te besmetten.

Reacties (13)
02-02-2020, 14:07 door The FOSS - Bijgewerkt: 02-02-2020, 14:30
Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
02-02-2020, 14:32 door Anoniem
@The FOSS,

Maar zal dat in alle gevallen gebeuren? Hoeveel weten niet eens van een mogelijk gecompromitteerd zijn of komen er pas zelfs maanden of jaren later achter, terwijl er allerlei achterdeuren al behoedzaam vele malen zijn open- en dichtgegaan bij even zo vele "digitale insluipingen", waarvan de sporen later vakkundig zijn verwijderd. Iedere hacker gaat niet eerst flink aan deuren of ramen lopen rammelen. Ze doen hun ontwrichtend werk in stilte en na heel veel voor-studie. Ze hebben aan een klein gaatje genoeg, terwijl de verdedigende partij de zaken over de hele linie in de gaten moeten houden.

Wat je zegt, uithuilen en van scratch opnieuw beginnen, is dan het devies, maar de verkeerd bezuinigende CEO of manager zal het wel achterwege willen laten. Deze problematiek blijft bestaan door maar te willen blijven aanmodderen, uit onkunde, onwil en onverschilligheid, die samen de grootste gevaren vormen voor het huidige internet en wat daarachter hangt.

"Voortdurend monitoren en valideren dus. Voortdurend vinger aan de pols houden".

J.O.
02-02-2020, 17:30 door karma4
Door The FOSS: Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
Je weet da het onderliggende systeem bij citrix BSD is? Dan is alle problematiek in jouw denkwijze aan dat OS te wijten.
Als je meerdere lagen hebt en een goed IDS moet je weten waar wat speelt nee een DBMS querietje op een log-dataset zal niet veel toevoegen. Je moet weten (telemetry!) wat er op alle systemen gebeurt.
02-02-2020, 17:57 door Tintin and Milou
Door karma4:
Door The FOSS: Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
Je weet da het onderliggende systeem bij citrix BSD is? Dan is alle problematiek in jouw denkwijze aan dat OS te wijten.
Als je meerdere lagen hebt en een goed IDS moet je weten waar wat speelt nee een DBMS querietje op een log-dataset zal niet veel toevoegen. Je moet weten (telemetry!) wat er op alle systemen gebeurt.
Dit is met ieder OS het geval. Als je machine eenmaal gecompromitteerd met admin rechten is, dan kun je het systeem niet meer vertrouwen. Welk OS je hierbij gebruikt maakt niet uit.
02-02-2020, 19:36 door The FOSS - Bijgewerkt: 02-02-2020, 19:40
Wie heeft het over een OS gehad? Ik niet...

Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
02-02-2020, 21:06 door karma4
Door Tintin and Milou:Dit is met ieder OS het geval. Als je machine eenmaal gecompromitteerd met admin rechten is, dan kun je het systeem niet meer vertrouwen. Welk OS je hierbij gebruikt maakt niet uit.
Klopt natuurlijk, daarom moet je niet afhankelijk zijn van een enkele beveiliging.

Door The FOSS: Wie heeft het over een OS gehad? Ik niet...
Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
Je gangbare houding toont de ware OS evangelist houding. Als je consequent was geweest had je BSD als schuldige vervloekt omdat het ongeschikt bleek om een veilige omgeving te bieden. De bedenkelijk kwaliteit in wat er daarmee neergezet. is.

Een beter houding zou zijn om een meer complete lagen aanpak en met detectie neer te zetten.
Vraagt iets meer dan wat roepen dat open source heilig is en er niets mis mee kan gaan.
Het zou me niets verbazen als die foute houding tot de deze verkeerde gevolgen geleid heeft.
02-02-2020, 21:51 door The FOSS - Bijgewerkt: 02-02-2020, 22:04
Wie heeft het over een OS gehad? Ik niet...

Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
02-02-2020, 22:14 door Tintin and Milou
Door karma4:

Door The FOSS: Wie heeft het over een OS gehad? Ik niet...
Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
Je gangbare houding toont de ware OS evangelist houding. Als je consequent was geweest had je BSD als schuldige vervloekt omdat het ongeschikt bleek om een veilige omgeving te bieden. De bedenkelijk kwaliteit in wat er daarmee neergezet. is.
BSD staat juist bekend om zijn stabiliteit en kwaliteit van de software.
Dit heeft helemaal niets met een OS te maken. Als je zoveel rechten op een OS krijgt, dan is alles onveilig.

Je probeert weer van alles aan elkaar te lullen, maar sorry je *** uit je nek momenteel. Jij bent deze discussie begonnen door in eens met het OS er bij te halen. Wat letterlijk helemaal niets met het probleem te maken heeft.

Een beter houding zou zijn om een meer complete lagen aanpak en met detectie neer te zetten.
Vraagt iets meer dan wat roepen dat open source heilig is en er niets mis mee kan gaan.
Het zou me niets verbazen als die foute houding tot de deze verkeerde gevolgen geleid heeft.
De enige die een foute houding heeft, ben jij momenteel.
02-02-2020, 22:40 door Anoniem
Door karma4: Je weet da het onderliggende systeem bij citrix BSD is?
Dat is niet zo algemeen te stellen. Citrix-voorheen-Netscaler "application delivery software" is gebaseerd op FreeBSD (wat niet hetzelfde is als "het is BSD"), maar een hoop andere meuk van citrix is dat dan weer helemaal niet. Dus je moet wel even specifiek zijn in waar je het over hebt. Tenzij je enige bedoeling is om in het wilde weg modder te gooien, natuurlijk, dan ben je goed bezig.
03-02-2020, 07:34 door The FOSS - Bijgewerkt: 03-02-2020, 07:35
Door Anoniem: @The FOSS,

Maar zal dat in alle gevallen gebeuren?

Ik vrees van niet inderdaad want het is veel meer werk dan de bovenstaande controles die worden genoemd.

Door Anoniem: Hoeveel weten niet eens van een mogelijk gecompromitteerd zijn of komen er pas zelfs maanden of jaren later achter, terwijl er allerlei achterdeuren al behoedzaam vele malen zijn open- en dichtgegaan bij even zo vele "digitale insluipingen", waarvan de sporen later vakkundig zijn verwijderd. Iedere hacker gaat niet eerst flink aan deuren of ramen lopen rammelen. Ze doen hun ontwrichtend werk in stilte en na heel veel voor-studie. Ze hebben aan een klein gaatje genoeg, terwijl de verdedigende partij de zaken over de hele linie in de gaten moeten houden.

Indien je echt zeker wilt zijn is dat gewoon niet te doen! Met root access kan je in elke hoek van het systeem een backdoor plaatsen. Zo beschouwd is herinstalleren/-inrichten goedkoper.

Door Anoniem: Wat je zegt, uithuilen en van scratch opnieuw beginnen, is dan het devies, maar de verkeerd bezuinigende CEO of manager zal het wel achterwege willen laten. Deze problematiek blijft bestaan door maar te willen blijven aanmodderen, uit onkunde, onwil en onverschilligheid, die samen de grootste gevaren vormen voor het huidige internet en wat daarachter hangt.

Zachte heelmeesters - lees in dit geval goedkope - maken stinkende wonden!

Door Anoniem: "Voortdurend monitoren en valideren dus. Voortdurend vinger aan de pols houden".

J.O.

Yep...
03-02-2020, 08:38 door MM - Bijgewerkt: 03-02-2020, 08:39
Door The FOSS: Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
Inderdaad, je kunt er écht niet meer vanuit gaan, dat er na een (te late) patch ineens niets meer aan de hand is.
Hoe ga je precies de eventuele achterdeuren / indringers, die ene user (met teveel rechten tussen je 9000 users) vinden, isoleren en uitschakelen.
Zo werkt dat niet meer ....
Full reinstall / back-ups terug zetten van enkel data ... opnieuw beginnen.
Kwestie van uithuilen en doorgaan.
03-02-2020, 12:07 door Anoniem
Waar je temidden van al het gekrakeel inmiddels bijna niemand meer over hoort, is het feit dat het een heel wijs besluit was van de Nederlandse rijksoverheid, bij monde van het NCSC.nl, om d.d. 17-01-2020 het dringende advies af te geven om ombetrouwbaar gebleken Citrix servers dadelijk af te sluiten. Mijns inziens was dat het beste wat men kon doen.

Hulde voor al die moedige, hardwerkende functionarissen die de nodige expertise en het lef hadden hun nek uit te steken!

https://www.security.nl/posting/640389/Grapperhaus%3A+Nederland+geprezen+voor+Citrix-aanpak
03-02-2020, 14:43 door Anoniem
Door Anoniem: Waar je temidden van al het gekrakeel inmiddels bijna niemand meer over hoort, is het feit dat het een heel wijs besluit was van de Nederlandse rijksoverheid, bij monde van het NCSC.nl, om d.d. 17-01-2020 het dringende advies af te geven om ombetrouwbaar gebleken Citrix servers dadelijk af te sluiten. Mijns inziens was dat het beste wat men kon doen.

Hulde voor al die moedige, hardwerkende functionarissen die de nodige expertise en het lef hadden hun nek uit te steken!

https://www.security.nl/posting/640389/Grapperhaus%3A+Nederland+geprezen+voor+Citrix-aanpak
Helemaal eens. De mensen die dit besloten hebben verdienen een pluimpje, en voor de verandering wil ik ook eens iets positiefs zeggen over de politiek, omdat de ministers die hier hun fiat op hebben gegeven dat ook daadwerkelijk gedaan hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.