image

Nog ruim 8.000 Citrix-systemen kwetsbaar voor aanvallen

maandag 3 februari 2020, 16:17 door Redactie, 11 reacties
Laatst bijgewerkt: 03-02-2020, 16:55

Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn nog altijd ruim 8.000 via internet toegankelijke Citrix-systemen kwetsbaar voor aanvallen. En beheerders vergeten niet alleen hun Citrix-systemen te patchen. Er zijn ook nog bijna 9.000 Windows-servers online die via de BlueGate-kwetsbaarheid zijn aan te vallen. Dat blijkt uit cijfers van het Nederlands Security Meldpunt.

De organisatie zoekt op internet naar kwetsbare systemen en probeert vervolgens de betreffende partijen te informeren zodat die hun systemen kunnen beveiligen. Op 31 december 2019 werden er meer dan 128.000 kwetsbare Citrix-systemen geteld. Een aantal dat sindsdien steeds verder daalt, met de grootste dalingen op 15 en 16 januari. Op 27 januari kwam het aantal kwetsbare Citrix-systemen onder de 10.000. Een week verder is dat aantal inmiddels naar 8300 gedaald. Deze systemen moeten inmiddels allemaal als gecompromitteerd worden beschouwd.

Dit weekend waarschuwde de Amerikaanse overheid dat de Citrix-systemen van een groot aantal organisaties zijn gecompromitteerd, maar een aantal werd niet genoemd. Volgens het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid moeten organisaties die de mitigaties van Citrix niet voor 9 januari hebben doorgevoerd ervan uitgaan dat ze zijn gecompromitteerd. Uit cijfers van het Security Meldpunt blijkt dat het om 115.000 systemen wereldwijd gaat.

BlueGate

Organisaties werden vorige maand niet alleen gewaarschuwd voor de kwetsbaarheid in Citrix, ook voor twee ernstige beveiligingslekken in de Windows Remote Desktop Gateway verschenen aparte waarschuwingen. Via de kwetsbaarheden, die de naam BlueGate kregen en waar op 14 januari updates voor uitkwamen, zijn systemen op afstand over te nemen. Ondanks de beschikbaarheid van beveiligingsupdates zijn nog zo'n 8800 servers kwetsbaar. Honderden van deze servers staan ook in Nederland, aldus het Security Meldpunt.

Alleen het versturen van speciaal geprepareerde requests naar deze servers is voldoende om ze op afstand over te nemen. Het is niet nodig om over geldige inloggegevens te beschikken. Er zijn nog geen aanvallen waargenomen waarbij servers ook daadwerkelijk werden overgenomen. Wel is er exploitcode gedemonstreerd waarmee dit mogelijk is. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk.

Reacties (11)
03-02-2020, 16:46 door Erik van Straten
Een nobel streven van het Nederlands Security Meldpunt, maar nagenoeg totaal zinloos. Veel te veel organisaties vertikken het gewoon om hun systemen redelijkerwijs te beveiligen. Om welke redenen dan ook (we hebben een verzekering, het is nog nooit eerder gebeurd, bij ons valt niks te halen, geldgebrek etc).

Ik denk dat we naar een model toe moeten waarbij organisaties, die persoonsgegevens verwerken, daar een vergunning voor moeten hebben en regelmatig door onafhankelijke inpecteurs getest moeten worden. En die vergunning natuurlijk niet krijgen of kwijtraken als nalatigheid wordt geconstateerd.

Alternatief: alle wanpresterende organisaties voor de rechter slepen. Voorbeeld: https://www.bbc.com/news/uk-england-norfolk-51284352:
A spreadsheet containing student health problems, bereavements and personal issues was sent to 298 people at the University of East Anglia in June 2017.

Insurers have since paid out £142,512 to affected students from UEA, which said it had reviewed data practices.
03-02-2020, 19:14 door Anoniem
Door Erik van Straten: Een nobel streven van het Nederlands Security Meldpunt, maar nagenoeg totaal zinloos.
Niet mee eens.
Veel organisaties zijn opgedeeld in logische units, waarbij firewall en netscaler door andere clubs beheerd worden.
Kan ervoor zorgen dat iedereen denkt dat de ander het beheert.

De melding dat je nog een netscaler vergeten bent is heel prettig, en wordt zeker gewaardeerd.
03-02-2020, 20:51 door Anoniem
Door Anoniem:
Door Erik van Straten: Een nobel streven van het Nederlands Security Meldpunt, maar nagenoeg totaal zinloos.
Niet mee eens.
Veel organisaties zijn opgedeeld in logische units, waarbij firewall en netscaler door andere clubs beheerd worden.
Kan ervoor zorgen dat iedereen denkt dat de ander het beheert.
Het opdelen in logische (of onlogische) unit mag natuurlijk nooit het excuus zijn dat een firewall en netscaler (of andere apparatuur) niet beheerd wordt. In die organisaties ontbreekt het gewoonweg aan een architectuur en fatsoenlijk ingevuld asset management. Allemaal doodnormale beveiligingsmaatregelen. Dit meldpunt is eerder het plakken van een te kleine pleister op een grote open wond. Het verbloemt de echte problemen. Ik ben het volledig met Erik eens!
03-02-2020, 21:52 door Erik van Straten - Bijgewerkt: 03-02-2020, 22:23
@Anoniem 20:51 hierboven: dank voor jouw reactie!

Na mijn eerdere reactie zag ik https://www.bleepingcomputer.com/news/security/dod-to-require-cybersecurity-certification-from-defense-contractors/.Hierin wordt verwezen naar twee, op het eerste gezicht m.i. uitstekende PDF documenten, waar elke organisatie haar voordeel mee kan doen. Begin eens met vast te stellen hoe "volwassen" de aanpak van cybersecurity in jouw organisatie is. En als dat minder is dan past bij jouw organisatie, maak dan een verbeterplan om tot een hoger niveau te komen. Deze documenten onderscheiden overigens 5 niveaus, en je hoeft natuurlijk geen defensie-leverancier te zijn om de beveiliging op orde te willen hebben.

1) The Cybersecurity Maturity Model Certification (CMMC) framework version 1.0 was released on January 31 and it is "a unified cybersecurity standard for future DoD acquisitions":
https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_v1.0_20200130.pdf

2) Appendices met veel details:
https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Appendices_v1.0_20200130.pdf

Inleiding tot bovenstaande documenten (naast het artikel op BleepingComputer): https://www.defense.gov/Explore/News/Article/Article/2071434/dod-to-require-cybersecurity-certification-in-some-contract-bids/.

Een m.i. prima "enquete-achtig" foldertje voor het hogere management van Deloitte (uit 2014, maar m.i. nog prima bij de tijd) onderscheidt 3 niveau's en is een stuk minder lijvig dan bogengenoemde DoD documenten:
https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/gx-ers-cyber-security-everybodys-imperative.pdf
Wellicht aardig om deze eens door het MT te laten invullen en door een aantal afdelingsmanagers en wellicht enkele personeelsleden (waaronder systeembeheerders), en dan de resultaten naast elkaar te leggen.
04-02-2020, 07:41 door Anoniem
Door Erik van Straten: Een m.i. prima "enquete-achtig" foldertje voor het hogere management van Deloitte (uit 2014, maar m.i. nog prima bij de tijd) onderscheidt 3 niveau's en is een stuk minder lijvig dan bogengenoemde DoD documenten:
https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/gx-ers-cyber-security-everybodys-imperative.pdf
Wellicht aardig om deze eens door het MT te laten invullen en door een aantal afdelingsmanagers en wellicht enkele personeelsleden (waaronder systeembeheerders), en dan de resultaten naast elkaar te leggen.

Ware het niet dat waarschijnlijk de helft van de leidingegevenden (in Nederland) niet voldoende vaardig is in engels (amerikaans) om te snappen waar de vragen over gaan. En daar dus al op afhaken.
04-02-2020, 07:41 door Bitje-scheef
Dank voor het delen Erik.

404 - File Not Found

The file you requested could not be located.

You can Search for it, or return to the ACQWeb homepage Click Here

If you still have problems, please contact the Webmaster at:

osd.as-webmaster@mail.mil
04-02-2020, 07:44 door Bitje-scheef
Citrix probleem was natuurlijk uitzonderlijk en de berichtgeving nogal warrig van Citrix zelf uit.
Ik hoorde vandaag dat dit komt omdat Citrix nogal verrast was door het feit dat er een aantal mensen uit de school hadden geklapt en niet de "gebruikelijke" 90 dagen aanhielden, de soort van ongeschreven regel is in de code-wereld voor security bugs zodat fabrikanten netjes patches en fixes kunnen uitbrengen.
04-02-2020, 08:30 door Erik van Straten
@Bitje-scheef: zie wat Ronald Prins hierover zegt in https://nos.nl/nieuwsuur/artikel/2319236-citrix-we-volgden-na-lek-standaardprocedure-gebeurt-duizenden-keren-per-jaar.html. Door eerst een workaround te publiceren wisten ook blackhats van de kwetsbaarheid. Blunder: die workaround bleek een deel van de ondersteunde versies niet te beschermen.
04-02-2020, 08:43 door karma4
Door Erik van Straten: Na mijn eerdere reactie zag ik https://www.bleepingcomputer.com/news/security/dod-to-require-cybersecurity-certification-from-defense-contractors/

1/ Je links naar die documenten werken niet.
Zo te zien wordt er een dagnummer in aangemaakt. Het wordt eens in de zoveel tijd anders.

2/ Waar het over gaat is: https://en.wikipedia.org/wiki/Capability_Maturity_Model met de bekende 5 levels. een oorsprong welke teruggaat tot in de beginjaren 70. Nist 800 - 171 is te vergelijken met de ISO27000 reeks.

3/ De detaillijst is natuurlijk prachtig voor de vloer in een specifieke situatie, afvinken en niet nadenken.
Het probleem is dat iedere andere organisatie niet het dod van de vs is. Andere branches ander soort gegevens andere omvang en die detaillijst gaat veranderen. Je zult dat per branche doelgroep eerst goed moeten zien te maken.
Dat kan alleen vanuit toezichthouders.

4/ Dit model is al jaren bekend. De ICT managers geven als waardering een 5 af als het om de eigen bonus gaat maar intern om de veranderingen te starten wordt het level als 0 afgegeven. Veel bedrijven hebben al zoiets, weten ze het niet goed, dan komen de grote vier waaronder Deloitte langs.
04-02-2020, 11:14 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Een m.i. prima "enquete-achtig" foldertje voor het hogere management van Deloitte (uit 2014, maar m.i. nog prima bij de tijd) onderscheidt 3 niveau's en is een stuk minder lijvig dan bogengenoemde DoD documenten:
https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Risk/gx-ers-cyber-security-everybodys-imperative.pdf
Wellicht aardig om deze eens door het MT te laten invullen en door een aantal afdelingsmanagers en wellicht enkele personeelsleden (waaronder systeembeheerders), en dan de resultaten naast elkaar te leggen.

Ware het niet dat waarschijnlijk de helft van de leidingegevenden (in Nederland) niet voldoende vaardig is in engels (amerikaans) om te snappen waar de vragen over gaan. En daar dus al op afhaken.
Dan laat je iemand, met voldoende verstand van beveiliging, zo'n documentje toch vertalen?

Door karma4:
1/ Je links naar die documenten werken niet.
Bleeping Computer heeft de links aangepast. Vreemd genoeg leidt zoeken in https://www.acq.osd.mil/cmmc/ naar CMMC_Model_Main (nog) naar de oude link, die nu 404 geeft. Ik heb op die site geen werkende links naar de laatste versies van deze documenten kunnen vinden.

Hoe dan ook, op dit moment zijn de links:
1) https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Main_20200203.pdf
2) https://www.acq.osd.mil/cmmc/docs/CMMC_Model_Appendices_20200203.pdf

Door karma4: Zo te zien wordt er een dagnummer in aangemaakt. Het wordt eens in de zoveel tijd anders.
Zodra je dergelijke eisen in aanbestedingsdocumenten gaat opnemen, kun je je dat natuurlijk niet meer permitteren. Vroeger of later moet je versies bevriezen.

Overigens zie ik geen functionele/inhoudelijke verschillen tussen de oude en de nieuwe versies, anders dan dat de eerder gepubliceerde versies geen tabel met "bookmarks" hadden, en dat in de inhoudstabel van het "main" document verwijzingen stonden naar de appendices, die kennelijk daarna in een separaat document zijn opgenomen. Daarom verwacht ik niet dat de links snel opnieuw zullen veranderen.

M.b.t. dit soort documenten in het algemeen: zij zijn niet zaligmakend. Je zult zelf, afhankelijk van jouw processen, gebruikte software, vaardigheden van medewerkers etc. een invulling moeten maken (concrete maatregelen beschrijven, implementeren, auditten en evalueren) - en dat is een, niet te onderschatten, puist werk. Mooier kunnen we het helaas niet maken.

Fijn is het m.i. wel dat de DoD up-to-date documenten beschikbaar stelt, ISO 27001 loopt meestal jaren achter de feiten aan en is daarbij zowel veel abstracter als vrijblijvender (je mag grotendeels zelf kiezen wat je "applicable" vindt in je SoA of crap opschrijven als: "ons patchbeleid is: wij patchen nooit"). Doe er je voordeel mee.
04-02-2020, 19:40 door Anoniem
Door Erik van Straten: Een nobel streven van het Nederlands Security Meldpunt, maar nagenoeg totaal zinloos. Veel te veel organisaties vertikken het gewoon om hun systemen redelijkerwijs te beveiligen. Om welke redenen dan ook (we hebben een verzekering, het is nog nooit eerder gebeurd, bij ons valt niks te halen, geldgebrek etc).

Ik denk dat we naar een model toe moeten waarbij organisaties, die persoonsgegevens verwerken, daar een vergunning voor moeten hebben en regelmatig door onafhankelijke inpecteurs getest moeten worden. En die vergunning natuurlijk niet krijgen of kwijtraken als nalatigheid wordt geconstateerd.

Het idee van een vergunning zou goed zijn. Een ander idee is dat de verzekering onderzoek laat doen dat je als organisatie je best hebt gedaan om jezelf te beveiligen tegen aanvallen. Daaronder valt ook het uitvoeren van patch management.

Nu kan je zeggen dat dat gek is maar als je een inbraak wilt claimen in je huis dan moet er zichtbare braakschade zijn. Als je je oldtimer wilt verzekeren en de maatschappij verplicht een taxatie en een werkend alarm van een bepaalde klasse, dan moet je de auto laten taxeren en het alarm laten keuren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.