Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

VS: groot aantal organisaties gecompromitteerd via Citrix-lek

zondag 2 februari 2020, 13:44 door Redactie, 13 reacties

Onbekende aanvallers zijn erin geslaagd om een groot aantal organisaties via het beveiligingslek in Citrix te compromitteren, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid laten weten. Een exact aantal wordt echter niet genoemd.

Het gaat om organisaties die de beschikbare mitigatiemaatregelen van Citrix niet op tijd hebben doorgevoerd. "Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen.

Het CISA waarschuwt dat het installeren van de beschikbaar gemaakte beveiligingsupdates niet voldoende is om al gecompromitteerde systemen te herstellen. "Zodra aanvallers toegang hebben verkregen blijven ze aanwezig, ook al is de originele aanvalsvector gesloten", aldus de Amerikaanse overheidsdienst. Het CISA heeft daarom technische details en andere informatie gegeven waarmee organisaties kunnen controleren of ze gecompromitteerd zijn. Eerder werd al bekend dat aanvallers het Citrix-lek gebruiken om organisaties met ransomware te infecteren en systemen met cryptominers te besmetten.

Trackingcookies op tientallen Nederlandse gemeentesites actief
ProtonMail: Rusland vroeg niet om informatie over bommeldingen
Reacties (13)
02-02-2020, 14:07 door The FOSS - Bijgewerkt: 02-02-2020, 14:30
Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
02-02-2020, 14:32 door Anoniem
@The FOSS,

Maar zal dat in alle gevallen gebeuren? Hoeveel weten niet eens van een mogelijk gecompromitteerd zijn of komen er pas zelfs maanden of jaren later achter, terwijl er allerlei achterdeuren al behoedzaam vele malen zijn open- en dichtgegaan bij even zo vele "digitale insluipingen", waarvan de sporen later vakkundig zijn verwijderd. Iedere hacker gaat niet eerst flink aan deuren of ramen lopen rammelen. Ze doen hun ontwrichtend werk in stilte en na heel veel voor-studie. Ze hebben aan een klein gaatje genoeg, terwijl de verdedigende partij de zaken over de hele linie in de gaten moeten houden.

Wat je zegt, uithuilen en van scratch opnieuw beginnen, is dan het devies, maar de verkeerd bezuinigende CEO of manager zal het wel achterwege willen laten. Deze problematiek blijft bestaan door maar te willen blijven aanmodderen, uit onkunde, onwil en onverschilligheid, die samen de grootste gevaren vormen voor het huidige internet en wat daarachter hangt.

"Voortdurend monitoren en valideren dus. Voortdurend vinger aan de pols houden".

J.O.
02-02-2020, 17:30 door karma4
Door The FOSS: Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
Je weet da het onderliggende systeem bij citrix BSD is? Dan is alle problematiek in jouw denkwijze aan dat OS te wijten.
Als je meerdere lagen hebt en een goed IDS moet je weten waar wat speelt nee een DBMS querietje op een log-dataset zal niet veel toevoegen. Je moet weten (telemetry!) wat er op alle systemen gebeurt.
02-02-2020, 17:57 door Tintin and Milou
Door karma4:
Door The FOSS: Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
Je weet da het onderliggende systeem bij citrix BSD is? Dan is alle problematiek in jouw denkwijze aan dat OS te wijten.
Als je meerdere lagen hebt en een goed IDS moet je weten waar wat speelt nee een DBMS querietje op een log-dataset zal niet veel toevoegen. Je moet weten (telemetry!) wat er op alle systemen gebeurt.
Dit is met ieder OS het geval. Als je machine eenmaal gecompromitteerd met admin rechten is, dan kun je het systeem niet meer vertrouwen. Welk OS je hierbij gebruikt maakt niet uit.
02-02-2020, 19:36 door The FOSS - Bijgewerkt: 02-02-2020, 19:40
Wie heeft het over een OS gehad? Ik niet...

Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
02-02-2020, 21:06 door karma4
Door Tintin and Milou:Dit is met ieder OS het geval. Als je machine eenmaal gecompromitteerd met admin rechten is, dan kun je het systeem niet meer vertrouwen. Welk OS je hierbij gebruikt maakt niet uit.
Klopt natuurlijk, daarom moet je niet afhankelijk zijn van een enkele beveiliging.

Door The FOSS: Wie heeft het over een OS gehad? Ik niet...
Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
Je gangbare houding toont de ware OS evangelist houding. Als je consequent was geweest had je BSD als schuldige vervloekt omdat het ongeschikt bleek om een veilige omgeving te bieden. De bedenkelijk kwaliteit in wat er daarmee neergezet. is.

Een beter houding zou zijn om een meer complete lagen aanpak en met detectie neer te zetten.
Vraagt iets meer dan wat roepen dat open source heilig is en er niets mis mee kan gaan.
Het zou me niets verbazen als die foute houding tot de deze verkeerde gevolgen geleid heeft.
02-02-2020, 21:51 door The FOSS - Bijgewerkt: 02-02-2020, 22:04
Wie heeft het over een OS gehad? Ik niet...

Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
02-02-2020, 22:14 door Tintin and Milou
Door karma4:

Door The FOSS: Wie heeft het over een OS gehad? Ik niet...
Maar als je er toch over begint: het is bij een professioneel open source OS natuurlijk gemakkelijker om een goede veilige omgeving in te richten en te onderhouden en - automatisch - te (her) installeren dan bij een closed source OS voor lichte consumententoepassingen en van een zeer bedenkelijke kwaliteit.
Je gangbare houding toont de ware OS evangelist houding. Als je consequent was geweest had je BSD als schuldige vervloekt omdat het ongeschikt bleek om een veilige omgeving te bieden. De bedenkelijk kwaliteit in wat er daarmee neergezet. is.
BSD staat juist bekend om zijn stabiliteit en kwaliteit van de software.
Dit heeft helemaal niets met een OS te maken. Als je zoveel rechten op een OS krijgt, dan is alles onveilig.

Je probeert weer van alles aan elkaar te lullen, maar sorry je *** uit je nek momenteel. Jij bent deze discussie begonnen door in eens met het OS er bij te halen. Wat letterlijk helemaal niets met het probleem te maken heeft.

Een beter houding zou zijn om een meer complete lagen aanpak en met detectie neer te zetten.
Vraagt iets meer dan wat roepen dat open source heilig is en er niets mis mee kan gaan.
Het zou me niets verbazen als die foute houding tot de deze verkeerde gevolgen geleid heeft.
De enige die een foute houding heeft, ben jij momenteel.
02-02-2020, 22:40 door Anoniem
Door karma4: Je weet da het onderliggende systeem bij citrix BSD is?
Dat is niet zo algemeen te stellen. Citrix-voorheen-Netscaler "application delivery software" is gebaseerd op FreeBSD (wat niet hetzelfde is als "het is BSD"), maar een hoop andere meuk van citrix is dat dan weer helemaal niet. Dus je moet wel even specifiek zijn in waar je het over hebt. Tenzij je enige bedoeling is om in het wilde weg modder te gooien, natuurlijk, dan ben je goed bezig.
03-02-2020, 07:34 door The FOSS - Bijgewerkt: 03-02-2020, 07:35
Door Anoniem: @The FOSS,

Maar zal dat in alle gevallen gebeuren?

Ik vrees van niet inderdaad want het is veel meer werk dan de bovenstaande controles die worden genoemd.

Door Anoniem: Hoeveel weten niet eens van een mogelijk gecompromitteerd zijn of komen er pas zelfs maanden of jaren later achter, terwijl er allerlei achterdeuren al behoedzaam vele malen zijn open- en dichtgegaan bij even zo vele "digitale insluipingen", waarvan de sporen later vakkundig zijn verwijderd. Iedere hacker gaat niet eerst flink aan deuren of ramen lopen rammelen. Ze doen hun ontwrichtend werk in stilte en na heel veel voor-studie. Ze hebben aan een klein gaatje genoeg, terwijl de verdedigende partij de zaken over de hele linie in de gaten moeten houden.

Indien je echt zeker wilt zijn is dat gewoon niet te doen! Met root access kan je in elke hoek van het systeem een backdoor plaatsen. Zo beschouwd is herinstalleren/-inrichten goedkoper.

Door Anoniem: Wat je zegt, uithuilen en van scratch opnieuw beginnen, is dan het devies, maar de verkeerd bezuinigende CEO of manager zal het wel achterwege willen laten. Deze problematiek blijft bestaan door maar te willen blijven aanmodderen, uit onkunde, onwil en onverschilligheid, die samen de grootste gevaren vormen voor het huidige internet en wat daarachter hangt.

Zachte heelmeesters - lees in dit geval goedkope - maken stinkende wonden!

Door Anoniem: "Voortdurend monitoren en valideren dus. Voortdurend vinger aan de pols houden".

J.O.

Yep...
03-02-2020, 08:38 door MM - Bijgewerkt: 03-02-2020, 08:39
Door The FOSS: Ik wil organisaties die gehackt zijn niet bang maken maar de hierboven aangevoerde controles zijn een beetje als een virusscanner. Ze dekken alleen bekende eerder gebruikte manieren af (vergelijk met bestaande virussen) maar geen nieuwe. Als een systeem gecompromitteerd is door root access dan is het rigoureus vanaf scratch - geboot vanaf een schoon installatie medium - herinstalleren en herinrichten van alles wat executable is, eigenlijk de enige manier om zeker te zijn dat je alles hebt afgevangen. Bovenstaande controles bieden niet meer dan schijnzekerheid. Je kan geluk hebben dat er inderdaad alleen maar bekende paden zijn bewandeld door de hackers. Maar zeker weet je dat niet want met root access kan je in elke hoek op het systeem komen.
Inderdaad, je kunt er écht niet meer vanuit gaan, dat er na een (te late) patch ineens niets meer aan de hand is.
Hoe ga je precies de eventuele achterdeuren / indringers, die ene user (met teveel rechten tussen je 9000 users) vinden, isoleren en uitschakelen.
Zo werkt dat niet meer ....
Full reinstall / back-ups terug zetten van enkel data ... opnieuw beginnen.
Kwestie van uithuilen en doorgaan.
03-02-2020, 12:07 door Anoniem
Waar je temidden van al het gekrakeel inmiddels bijna niemand meer over hoort, is het feit dat het een heel wijs besluit was van de Nederlandse rijksoverheid, bij monde van het NCSC.nl, om d.d. 17-01-2020 het dringende advies af te geven om ombetrouwbaar gebleken Citrix servers dadelijk af te sluiten. Mijns inziens was dat het beste wat men kon doen.

Hulde voor al die moedige, hardwerkende functionarissen die de nodige expertise en het lef hadden hun nek uit te steken!

https://www.security.nl/posting/640389/Grapperhaus%3A+Nederland+geprezen+voor+Citrix-aanpak
03-02-2020, 14:43 door Anoniem
Door Anoniem: Waar je temidden van al het gekrakeel inmiddels bijna niemand meer over hoort, is het feit dat het een heel wijs besluit was van de Nederlandse rijksoverheid, bij monde van het NCSC.nl, om d.d. 17-01-2020 het dringende advies af te geven om ombetrouwbaar gebleken Citrix servers dadelijk af te sluiten. Mijns inziens was dat het beste wat men kon doen.

Hulde voor al die moedige, hardwerkende functionarissen die de nodige expertise en het lef hadden hun nek uit te steken!

https://www.security.nl/posting/640389/Grapperhaus%3A+Nederland+geprezen+voor+Citrix-aanpak
Helemaal eens. De mensen die dit besloten hebben verdienen een pluimpje, en voor de verandering wil ik ook eens iets positiefs zeggen over de politiek, omdat de ministers die hier hun fiat op hebben gegeven dat ook daadwerkelijk gedaan hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure LIVE Online training

CoronaCheck app voor toegang tot sociale activiteiten:

24 reacties
Aantal stemmen: 981
Wetsvoorstel dat toegang via testbewijzen regelt naar Tweede Kamer
19-04-2021 door Redactie

Het wetsvoorstel dat ervoor zorgt dat testbewijzen kunnen worden ingezet voor toegang tot activiteiten zoals sportwedstrijden, ...

30 reacties
Lees meer
Is strafrechtelijke vervolging van verkoop van gamecheats ook denkbaar in Nederland?
14-04-2021 door Arnoud Engelfriet

Juridische vraag: In de media wordt bericht dat in China een crimineel collectief is opgepakt dat gamecheats verkocht. Volgens ...

10 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

22 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter