Nieuws

Ministers gaven toestemming voor advies Citrix uit te schakelen

donderdag 23 januari 2020, 15:53 door Redactie, 8 reacties

Minister Grapperhaus van Justitie en Veiligheid en minister Knops van Binnenlandse Zaken hebben het Nationaal Cyber Security Centrum (NCSC) toestemming gegeven om het advies uit te brengen waarin het uitschakelen van Citrix-systemen werd aangeraden.

Dat laten de bewindslieden in een brief aan de Tweede Kamer weten. De brief bevat een overzicht van de belangrijkste feiten en ontwikkelingen met betrekking tot de kwetsbaarheid in Citrix. Eén van de onderwerpen is het advies van het NCSC. Zo stelde de overheidsdienst op 16 januari, mede op basis van informatie van specialisten, dat de tussentijdse mitigatiemaatregelen van Citrix onvoldoende bescherming boden.

Volgens Citrix konden organisaties zich via deze maatregelen beschermen tegen aanvallen in afwachting van een beveiligingsupdate. Het softwarebedrijf stelde vervolgens dat alleen bij bepaalde versies de mitigatiemaatregelen niet werkten. Het NCSC liet echter weten dat alle versies risico liepen. Tevens adviseerde de overheidsdienst om het uitschakelen van Citrix-systemen te overwegen.

"Op 17 januari 2020 heeft de NCTV een overleg belegd met alle departementen over de ontstane situatie. Diezelfde dag bracht de AIVD een beveiligingsadvies uit. Op basis van de op dat moment beschikbare informatie is door ons akkoord gegeven aan het NCSC om het dringende advies uit te brengen aan Rijksoverheid en het advies aan vitale organisaties om de Citrix-systemen uit te schakelen tot het moment dat een sluitende oplossing beschikbaar is", aldus Grapperhaus en Knops.

Naar aanleiding van de opschaling op 17 januari door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het overleg tussen de bewindspersonen, zijn de departementen gevraagd om Citrix-systemen uit te schakelen, tenzij aan drie voorwaarden kon worden voldaan. Op basis hiervan hebben de overheidsorganisaties bij het Rijk vervolgens zelf een risicoafweging gemaakt over het al dan niet uitschakelen van de betreffende Citrix-systemen. Later wijzigde het NCSC het advies waarin stond dat de mitigatiemaatregelen van Citrix niet werkten.

Verder stellen de ministers dat het NCSC doorlopend met Citrix contact heeft gehad over de ontwikkelingen. De lessen die uit incident zijn geleerd zullen worden meegenomen in de kabinetsreactie op het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over het voorbereiden op digitale ontwrichting. Naast de brief aan de Tweede Kamer vindt er vandaag ook een technische briefing over het Citrix-lek plaats.

D66 wil opheldering over betalen van losgeld bij ransomware

Auto-onderdelenfabrikant Gedia getroffen door ransomware

Reacties (8)

23-01-2020, 16:17 door Erik van Straten

Aangezien het nog afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren op Citrix gateways (of hoe die dingen ook precies mogen heten) en achterdeurtjes hebben kunnen achterlaten en/of credentials om op die gateways zelf in te loggen, credentials om op interne systemen in te loggen en/of andere vertrouwelijke data hebben kunnen buitmaken, was dit m.i. het enige juiste besluit op dat moment.

Het had m.i. echter beter eerder genomen kunnen worden.

23-01-2020, 16:50 door Anoniem

Door Erik van Straten: Aangezien het nog afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren op Citrix gateways (of hoe die dingen ook precies mogen heten) en achterdeurtjes hebben kunnen achterlaten en/of credentials om op die gateways zelf in te loggen, credentials om op interne systemen in te loggen en/of andere vertrouwelijke data hebben kunnen buitmaken, was dit m.i. het enige juiste besluit op dat moment.

Het had m.i. echter beter eerder genomen kunnen worden.

Fan zal je feitelijk moet afwachten totdat de volgende uitvoering van code gebeurt en je ook nog compleet waarneemt.
Je weet sowieso al niet wanneer die gaat verschijnen.
Aangezien de geplaatste hacks vele niet meteen uitgenut worden weet je dus ook niet hoe lang je daadwerkelijk wilt gaan wachten.
Wat betekent dat afwachten tot er code uitgevoerd kon nou werkelijk?
En welke code?
Met dat afwachten kan je dus werkelijk alle richtingen op.

23-01-2020, 18:47 door Anoniem

Door Erik van Straten: Aangezien het nog afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren.

Jij denkt dat hier niet hééél hard naar gezocht/gekeken wordt?

23-01-2020, 22:25 door Erik van Straten

Door Anoniem:

Door Erik van Straten: Aangezien het nog afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren.

Jij denkt dat hier niet hééél hard naar gezocht/gekeken wordt?

Nee, nou ja, hooguit een enkele organisatie.

Door wie zou dat moeten gebeuren? Door beheerders die hebben geleerd op yes en no te drukken tijdens het uitvoeren van installatiescripts? Professionals die dit goed kunnen zijn duur en schaars. Scriptkiddies laten vaak een hoop troep achter, maar ervaren criminelen wissen hun sporen. Als zij user-ID's en wachtwoorden/wachtwoordhashes en/of private keys hebben kunnen afkijken (*), kunnen ze al hun sporen hebben gewist - en later terugkomen; zelfs een professionele forensisch expert zou dan wel eens niets kunnen vinden (binnen een redelijke tijd). Ik ben benieuwd hoeveel organisaties, veiligheidshalve, alle wachtwoorden (ook interne) en VPN-(achtige)-credentials hebben gereset.

(*) Ik weet niet hoe het op Citrix gatways zit, maar op Sophos (voorheen Astaro) UTM's staan vaak alle OpenVPN-clients met attached private key (of die componenten als losse bestanden) voor download klaar.

Je kunt natuurlijk checken met een tool zoals beschreven in https://www.security.nl/posting/640540/Citrix+lanceert+gratis+tool+voor+detectie+gecompromitteerde+systemen, maar die had je dan meteen na publicatie moeten draaien. De slimmere criminelen die nog "actieve achterdeurtjes" op systemen hebben, bekijken dat soort tools natuurlijk ook, waardoor dit een kat-en-muis spelletje wordt - vooral als die gateways al weer lang en breed aan internet hangen.

Maar, zoals Anoniem van 16:50 schrijft, als er op een later moment ongewenste dingen gebeuren, en de organisatie de beveiliging sowieso al niet zo goed op orde had, bestaat de kans dat je nooit kunt achterhalen hoe en wanneer de "feitelijke inbraak" plaatsvond.

Met "afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren op Citrix gateways" bedoelde ik echter niet dat "afwachten" een goed idee is. Je moet procedures op de plank hebben liggen die beschrijven wat je moet doen bij incidenten waaronder gepubliceerde kwetsbaarheden. Als je op dat moment moet gaan onderhandelen en risico's inschatten die je baseert op vage berichtgeving en onderbuikgevoelens, kun je er donder op zeggen dat de weegschaal in een deel van de gevallen de verkeerde kant op slaat. En dan zul je inderdaad moeten "afwachten" of er alsnog ongewenste dingen gebeuren.

24-01-2020, 06:54 door Anoniem

De Minister gaf toestemming? Dat betekent dus dat het een politiek besluit was.

24-01-2020, 09:36 door Anoniem

Het WAS een politiek besluit. Niemand wilde de zwarte piet toegespeeld krijgen als er echt een breach was geweest. Wij hadden op 24 december de aanbevolen patches al aangebracht, en alles continu getest en gescand. Geen enkel probleem gehad en ook niets uitgezet. Dit heeft in het buitenland ook helemaal niet gespeeld. Alleen hier heeft het NCSC zwalkend beleid getoond door eerst vaag te doen over de oplossing (waarvan exacte gegevens allang bekend waren) en daarna te adviseren alles uit te zetten, met verstrekkende gevolgen.

24-01-2020, 10:22 door Anoniem

Door Erik van Straten: Aangezien het nog afwachten is of criminelen daadwerkelijk code hebben kunnen uitvoeren op Citrix gateways (of hoe die dingen ook precies mogen heten)

Ik heb gevallen langs zien komen waarbij aangetoond is dat criminelen code hebben kunnen uitboeren.

en achterdeurtjes hebben kunnen achterlaten en/of credentials om op die gateways zelf in te loggen, credentials om op interne systemen in te loggen en/of andere vertrouwelijke data hebben kunnen buitmaken, was dit m.i. het enige juiste besluit op dat moment.

En dan kun je dit dus ook niet meer uitsluiten.

Het had m.i. echter beter eerder genomen kunnen worden.

De eerste gedachte was dat de workaround zou werken. Pas toen bleek dat daar ook een probleem in zat, is besloten om het advies uit te brengen.

En over het zoeken van de compromises:
Het is een BSD-based omgeving. In de meeste gevallen word Citrix gebruikt om toegang te krijgen tot Windows systemen. Die organisaties hebben vaak niemand die overweg kan met de BSD CLI, laat staan dat ze voldoende kennis hebben om op zoek te gaan naar BSD backdoors.

Peter

27-01-2020, 13:42 door Anoniem

Nuance in het nieuws had een hoop "onrust" kunnen voorkomen. Ik ben zelf technisch betrokken bij de Netscaler problematiek en als je het enigszins kadert kun je de informatie, mijns inzien, duidelijker brengen.

- De mitigerende maatregelen , in de vorm van een global responder policy, werkte gewoon (op bepaalde 12.x build na want daar zat weer een bug in waardoor global responder policy's niet werkte). Het is hierbij wel van belang dat je die maatregelen voor januari 2020 hebt geïmplementeerd.

- Als je de responder policy (de mitigerende maatregel) goed bekijkt zie je ook dat deze een 403 antwoord geeft als er /../ en/of /vpns/ in de aangesproken URL voorkomt (het lek was immers een directory traversal).

- Dit had je uitvoerig kunnen testen mits je snapt wat er gebeurd.

- Heb je de maatregelen pas in januari toegepast ? Dan heb je pech en is uitzetten op zich geen verkeerde actie. Je moet er dan wel vanuit gaan dat je systemen niet meer te vertrouwen zijn dus patchen heeft dan geen zin maar een schone herinstallatie met de fixed build wel.

- Daarnaast betrof het dus geen Citrix Servers maar een Netscaler / ADC lek. Netscalers / ADC worden vaak ingezet als Citrix Gateway met ICA Proxy (Wat vroeger secure gateway was) i.c.m. Storefront etc. En daarnaast load-balancer met al dan niet pre-authentication oplossingen voor het ontsluiten van Interne webdiensten. En nog vele andere functies. Het is dus een multifuntioneel apparaat.

- Bij een beetje secure deployment zet je altijd je netscaler(s) in het DMZ met daarvoor een Next-Gen firewall. Een beetje Next-Gen firewall heeft IPS/IDS en als die up to date zijn had je al IPS rules moeten hebben die de aanvallen blokkeert.

Ik vond het nieuws iig. verwarrend en heb bovenstaande verhaal aan iedereen zo goed mogelijk uitgelegd. Ik blijf erbij dat, indien je pas in januari 2020 de mitigerende maatregelen hebt toegepast, je alsnog je systemen grondig moet nakijken op indications of compromised. Indien je zelf 100% overtuigd bent dat je niet compromised bent kun je de fixed patches toepassen. Indien je enigzins twijfelt zou ik een compleet schone installatie doen op basis van de fixed builds van Citrix.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer