Er is een grote waarschijnlijkheid dat aanvallers van kwetsbare Citrix-systemen tls-certificaten en bijbehorende sleutels hebben gestolen, waardoor het mogelijks is om versleutelde tls-verbindingen af te luisteren en manipuleren. Daarvoor waarschuwt Nederlands Security Meldpunt vandaag.

Het Nederlands Security Meldpunt bestaat uit vrijwilligers die eigenaren van Nederlandse netwerkblokken en websites informeren over zaken die bij het meldpunt worden gemeld. Onderzoekers van het meldpunt hebben de afgelopen dagen naar kwetsbare Citrix-systemen gescand. In de nacht van 9 op 10 januari werden ruim 700 kwetsbare systemen geïdentificeerd. Daarvan bleken er meer dan 450 zogeheten wildcardcertificaten te gebruiken.

Een wildcardcertificaat maakt het mogelijk om via één tls-certificaat alle subdomeinen van een domein, zoals voorbeeld.example.tld, van een versleutelde verbinding te voorzien. Dit moet het gebruik van https vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart tls-certificaat hoeven aan te vragen. "Er is een grote waarschijnlijkheid dat Citrix Application Delivery Controllers waarop op of na 9 januari 2020 geen mitigatie is toegepast, zijn overgenomen en dat daarbij het tls-certificaat en de bijbehorende sleutel is buitgemaakt", zo laat het Nederlands Security Meldpunt weten.

Daardoor is er een risico dat een aanvaller met tls versleutelde verbindingen naar systemen van de betreffende organisatie kan onderscheppen, zonder dat gebruikers hiervan een melding krijgen. Met deze certificaten en bijbehorende sleutels zijn verschillende aanvallen mogelijk, zoals man-in-the-middle-aanvallen en phishing. De certificaten zijn niet alleen op het betreffende Citrix-systeem te gebruiken, maar ook op andere systemen.

Afhankelijk van de gebruikte Citrix-versie en ingestelde mitigatie wordt organisaties aangeraden hun tls-certificaten te controleren en wanneer nodig te vervangen en de oude certificaten in te laten trekken. "Indien u, met hoge mate van zekerheid, heeft kunnen (laten) uitsluiten dan het systeem gecompromitteerd is, dan raden wij u nog steeds aan het wildcardcertificaat te vervangen door een niet wildcardvariant on een soortgelijk risico in de toekomst te vermijden", aldus het advies van het Nederland Security Meldpunt. De organisatie heeft het Nationaal Cyber Security Centrum (NCSC) al ingelicht en zal nu proberen alle partijen in kwestie te informeren.