Nieuws

Honderd Nederlandse zorginstellingen kwetsbaar door Citrix-lek

donderdag 16 januari 2020, 15:46 door Redactie, 6 reacties

Meer dan honderd Nederlandse zorginstellingen maken gebruik van Citrix en zijn kwetsbaar door het lek in de software. Dat meldt Z-Cert, het Computer Emergency Response Team voor de zorg. De organisatie heeft de betreffende zorginstellingen gewaarschuwd over de kwetsbaarheid, waar nog altijd geen beveiligingsupdate voor beschikbaar is.

Nadat er exploitcode voor de kwetsbaarheid online was verschenen heeft Z-CERT een waarschuwing naar al haar deelnemers gestuurd. "Dit bericht heeft de hoogste prioriteit binnen de berichtgeving van Z-CERT. In dit bericht adviseert Z-CERT met de grootst mogelijke spoed de maatregelen te treffen indien deze nog niet zijn genomen", zo laat de organisatie weten. Na het versturen van het bericht zijn alle zorginstellingen met kwetsbare Citrix-servers persoonlijk benaderd.

"Op basis van signalen die we hebben ontvangen gaat Z-CERT er vanuit dat instellingen die tot zaterdag nog geen maatregelen hadden genomen ten aanzien van de kwetsbare Citrix apparatuur gecompromitteerd zijn", laat Z-Cert verder weten. Om hoeveel zorginstellingen gaat wordt niet gemeld. Gisteren meldde het Medisch Centrum Leeuwarden (MCL) dat het doelwit van een aanval was geworden en daarop al het verkeer met de buitenwereld heeft afgesloten. De aanval zou echter een zeer beperkte impact hebben gehad.

Daarnaast zijn er in de Tweede Kamer vragen over het Citrix-lek gesteld en de rol van Z-Cert. Zo wilde SP-Kamerlid Hijink van minister De Jonge van Volksgezondheid weten waarom erop de website van Z-Cert sinds december geen bericht te lezen was over de risico's voor organisaties die werken met Citrix. Inmiddels heeft Z-Cert een mededeling over de kwetsbaarheid gepubliceerd.

Citrix waarschuwt dat workaround voor ernstig lek niet altijd werkt

Kamervragen over aanval op servers ziekenhuis Leeuwarden

Reacties (6)

16-01-2020, 16:32 door Anoniem

https://www.z-cert.nl/nieuws/articles/kwetsbaarheid-in-citrix
Wat ontbreekt in dit verhaal: de publicatiedatum van dit bericht, en ook van diverse gebeurtenissen.

".. Sinds zaterdag is er publieke exploitcode beschikbaar..."
Misschien wordt bedoeld vrijdag 10-01-2020, wat valt af te leiden uit:
https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+are+Public+and+Heavily+Used+Attempts+to+Install+Backdoor/25700/
Daarin wordt verwezen naar de eerste exploit van "projectzeroindia" van 10-01-2020.
https://github.com/projectzeroindia/CVE-2019-19781

".. Z-CERT heeft meer dan 100 zorginstellingen benaderd die deze producten gebruiken .."
Wanneer? Waaruit blijkt dat deze boodschap ontvangen en begrepen werd?

".. Die zaterdag (11-02-2020?) heeft Z-CERT een "Operational Alert" uitgestuurd naar al haar deelnemers .."
Wat was het effect?

Hoeveel kwetsbare citrix-servers zijn er nu nog, hoe is het verloop daarvan in de tijd??
(In Nieuwsuur werd op 15-01-2020 nog gesproken over 200 kwetsbare servers).

16-01-2020, 18:32 door Anoniem

Door Anoniem: https://www.z-cert.nl/nieuws/articles/kwetsbaarheid-in-citrix
Wat ontbreekt in dit verhaal: de publicatiedatum van dit bericht, en ook van diverse gebeurtenissen.

".. Sinds zaterdag is er publieke exploitcode beschikbaar..."
Misschien wordt bedoeld vrijdag 10-01-2020, wat valt af te leiden uit:
https://isc.sans.edu/forums/diary/Citrix+ADC+Exploits+are+Public+and+Heavily+Used+Attempts+to+Install+Backdoor/25700/
Daarin wordt verwezen naar de eerste exploit van "projectzeroindia" van 10-01-2020.
https://github.com/projectzeroindia/CVE-2019-19781

Projectzeroindia op twitter om 12:07AM op 11-01, 'we just released ...'
https://twitter.com/ProjectZeroIN/status/1215772214122795010

¯\_(?)_/¯

16-01-2020, 19:05 door Anoniem

Inderdaad een vaag bericht met allerlei losse eindjes en onduidelijkheden gepubliceerd door Z-CERT als een van de laatste van alle partijen die vinden dat ze een bericht uit moeten sturen. Goed hoor maar echt te laat, ze hadden einde kerstperiode moeten acteren omdat ze zeggen een specialistische partij te zijn en dus toen al hadden kunnen inschatten (op grond van eerdere soortgelijke casussen) dat het een serieuze kwetsbaarheid betrof. En dus ook rond die periode in ieder geval de aangesloten instellingen te informeren, hetgeen waar een CERT in basis voor is opgetuigd.

17-01-2020, 11:38 door Anoniem

Ik ben op 19 december als aangesloten zorginstelling door Z-CERT op de hoogte gebracht en Z-CERT heeft deze kwetsbaarheid vanaf het begin serieus genomen. Toen bekend werd dat een expliot beschikbaar was is Z-CERT ook niet aangesloten zorginstellingen gaan benaderen. Volgens mij hebben zij uitstekend gehandeld en is er geen enkele reden voor negatieve reacties. Het is uiteindelijk aan de zorginstellingen zelf om tijdig acties te ondernemen na het ontvangen van een alert!

17-01-2020, 13:08 door Anoniem

Door Anoniem: Ik ben op 19 december als aangesloten zorginstelling door Z-CERT op de hoogte gebracht en Z-CERT heeft deze kwetsbaarheid vanaf het begin serieus genomen. Toen bekend werd dat een expliot beschikbaar was is Z-CERT ook niet aangesloten zorginstellingen gaan benaderen. Volgens mij hebben zij uitstekend gehandeld en is er geen enkele reden voor negatieve reacties. Het is uiteindelijk aan de zorginstellingen zelf om tijdig acties te ondernemen na het ontvangen van een alert!

Dan neem ik bovenstaande eerdere reactie (19:05) in zijn volledigheid terug.

17-01-2020, 23:23 door Anoniem

Wat een paniek...
NCSC adviseert....
Overheid volgt...
Bedrijfsleven sluit zich af van buitenwereld....
Zorg sluit zich af van buitenwereld....
Officiele securitybedrijven zijn stil...

Snapt dan niemand wat er aan de hand is....
Een trigger: Het is een lek in citrix en als je toegang hebt tot citrx netwerk, heb je zonder enige autorisatie ook toegang tot citrix servers....
Leuk dat men adviseert, sluit je af van de buitenwereld, maar dat is onvoldoende....
Loop binnen bij een publieke organisatie, stop je kabel in de outlet of verbind met het draadloze citrix netwerk, bij veel bedrijven relatief eenvoudig te doen. Eenmaal op het citrix netwerk kun je zonder autorisatie op de citrix servers komen.
Ik snap dat ze dit niet willen communiceren als ncsc, omdat er maar 1x oplossing is en dat is citrix platleggen. Via wifi lopen nu veel bedrijven het risico om van binnen uit aangevallen te worden...

Denk hier maar eens over na......security guru's....

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer