image

Citrix betreurt gevolgen van beveiligingslek voor klanten

zondag 26 januari 2020, 10:44 door Redactie, 6 reacties

Softwarebedrijf Citrix betreurt de gevolgen die de ernstige kwetsbaarheid in de Application Delivery Controller (ADC) en Gateway heeft gehad op klanten. Dat stelt het bedrijf bij het uitbrengen van de laatste beveiligingsupdate voor de kwetsbaarheid die sinds 17 december bekend is.

Via het beveiligingslek kunnen aanvallers kwetsbare Citrix-systemen overnemen en daarvandaan bijvoorbeeld het bedrijfsnetwerk aanvallen. De eerste updates verschenen op 19 januari, hoewel Citrix in de aankondiging op 17 december mitigatiemaatregelen had gepubliceerd. Veel organisaties hadden deze maatregelen die bescherming tegen aanvallen boden niet op tijd doorgevoerd.

"Als u de mitigerende maatregelen van Citrix niet of pas na 9 januari 2020 heeft toegepast, kunt u er redelijkerwijs van uitgaan dat uw systeem is gecompromitteerd vanwege het bekend worden van publieke exploits", zo liet het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie eerder weten. Op 10 januari waren nog 115.000 Citrix-servers kwetsbaar voor aanvallen. Deze organisaties hebben het advies gekregen om een herstelplan op te stellen.

"klantveiligheid is een topprioriteit voor Citrix", zegt Citrix-cio Fermin Serna bij de aankondiging van de laatste beveiligingsupdate voor de kwetsbaarheid. Deze patch is voor Citrix ADC en Gateway versie 10.5. "We betreuren de impact die deze kwetsbaarheid op getroffen klanten heeft gehad", voegt Serna toe. Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben.

Reacties (6)
26-01-2020, 11:11 door Erik van Straten - Bijgewerkt: 26-01-2020, 11:13
Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben.
Niks "coulance". We moeten af van bedrijven die stellen dat je, voor het corrigeren van fabrieksfouten, een onderhoudscontract zou moeten hebben. Of erger, helemaal niks doen aan fabrieksfouten in nog bruikbare en soms zelfs nog recentelijk verkochte producten.
26-01-2020, 11:14 door Anoniem
Door Erik van Straten:
Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben.
Niks "coulance". We moeten af van bedrijven die stellen dat je, voor het corrigeren van fabrieksfouten, een onderhoudscontract zou moeten hebben. Of erger, helemaal niks doen aan fabrieksfouten in nog bruikbare en soms zelfs nog recentelijk verkochte producten.
Precies! Onderhoudscontract is leuk voor helpdesk vragen en de mogelijkheid om functionele verzoeken in te dienen,
maar het kunnen downloaden van security updates moet gewoon zonder onderhoudscontract of andere relatie met de
producent mogelijk zijn (dus ook als je bijvoorbeeld iets hebt overgenomen van de originele koper).
26-01-2020, 12:01 door Anoniem
Door Anoniem:
Door Erik van Straten:
Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben.
Niks "coulance". We moeten af van bedrijven die stellen dat je, voor het corrigeren van fabrieksfouten, een onderhoudscontract zou moeten hebben. Of erger, helemaal niks doen aan fabrieksfouten in nog bruikbare en soms zelfs nog recentelijk verkochte producten.
Precies! Onderhoudscontract is leuk voor helpdesk vragen en de mogelijkheid om functionele verzoeken in te dienen,
maar het kunnen downloaden van security updates moet gewoon zonder onderhoudscontract of andere relatie met de
producent mogelijk zijn (dus ook als je bijvoorbeeld iets hebt overgenomen van de originele koper).

Niet mee eens, omdat dit geheel afhankelijk is van het verkoopmodel dat voor een product wordt gehanteerd; indien je van te voren weet dat een servicecontract is vereist mag je niet verwachten dat je nog updates ontvangt wanneer je het contract stopzet, omdat het stopzetten impliceert dat je het product (blijkbaar) niet meer gaat gebruiken. Blijf je het product wel gebruikten dan neem je toch bewust een risico.

Indien je een product als een Sonos koopt (mooi recent voorbeeld) waarbij je geen contractvorm hebt voor updates, dan ben je aan de leverancier overgeleverd in hoeverre na een aantal jaren zo'n product nog wordt ondersteund. Ditzelfde zie je bij de smartphones waarbij sommige Android toestellen niet eens een jaar van updates worden voorzien. Dat is natuurlijk een hele slechte zaak, maar niet vergelijkbaar met die van Citrix.

Ik ben van mening dat een goede oplossing zou zijn dat je software niet koopt maar gebruikt en dus altijd een onderhoudscontract voor in ieder geval de software zou moeten worden aangeboden door de leverancier van zo'n dienst (bijvoorbeeld Citrix) of product (telefoon, Sonos). Hiermee dwing je bij de leverancier af om voordat je iets aanschaft duidelijkheid te krijgen in hoeverre een product zal worden ondersteund. Software koop je niet, het wordt vrijwel nooit echt je eigendom, maar je betaald voor het gebruik. Mooi voorbeeld is natuurlijk open-source software; geheel gratis maar een bedrijf wil in veel gevallen wel ondersteuning/zekerheid hebben en een contract kunnen afsluiten. Software is namelijk nooit af en iets kan morgen zomaar een securitly probleem blijken terwijl dat vandaag nog niet het geval is.
Het leveren van een security fix voor niet meer betalende klanten is natuurlijk wel netjes maar gaat uiteindelijk ten koste van de wel betalende klanten.
26-01-2020, 12:14 door [Account Verwijderd] - Bijgewerkt: 26-01-2020, 12:15
Door Erik van Straten:
Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben.
Niks "coulance". We moeten af van bedrijven die stellen dat je, voor het corrigeren van fabrieksfouten, een onderhoudscontract zou moeten hebben. Of erger, helemaal niks doen aan fabrieksfouten in nog bruikbare en soms zelfs nog recentelijk verkochte producten.
Vooral je laatste zin spreekt boekdelen denk ik. Enige jaren terug werd bekend dat op de markt zijnde sleutelkluis van een bepaald merk (die aan de buitenkant van een pand vastzit en waar de toegangssleutel inzit) binnen 1 minuut te compromitteren viel door een inbreker. Je zou dan denken dat de fabrikant deze onveilige sleutelkluizen direct uit de handel neemt, maar nee...ze worden nog steeds tot op de dag van vandaag verkocht.
27-01-2020, 07:01 door Anoniem
En tegelijkertijd is Grapperhaus voorstander van het verzwakken van encryptie!

J&V is schizofreen als de hel.

De kranten schrijven het ook; de bestuurlijke laag van J&V is verrot.
27-01-2020, 09:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Citrix stelt dat het de updates voor alle klanten beschikbaar heeft gemaakt, ongeacht of ze nog een actief onderhoudscontract hebben.
Niks "coulance". We moeten af van bedrijven die stellen dat je, voor het corrigeren van fabrieksfouten, een onderhoudscontract zou moeten hebben. Of erger, helemaal niks doen aan fabrieksfouten in nog bruikbare en soms zelfs nog recentelijk verkochte producten.
Precies! Onderhoudscontract is leuk voor helpdesk vragen en de mogelijkheid om functionele verzoeken in te dienen,
maar het kunnen downloaden van security updates moet gewoon zonder onderhoudscontract of andere relatie met de
producent mogelijk zijn (dus ook als je bijvoorbeeld iets hebt overgenomen van de originele koper).

Niet mee eens, omdat dit geheel afhankelijk is van het verkoopmodel dat voor een product wordt gehanteerd; indien je van te voren weet dat een servicecontract is vereist mag je niet verwachten dat je nog updates ontvangt wanneer je het contract stopzet, omdat het stopzetten impliceert dat je het product (blijkbaar) niet meer gaat gebruiken.

Daar ben ik het dan weer niet mee eens. Ik vind het prima dat je, als je je onderhoudscontract opzegt, dat je dan geen functionele updates meer ontvangt, en geen hulp bij het gebruik van het product. Maar als er een groot risico op schade bestaat door het gebruik van het product vind ik dat dat aan de fabrikant is om te verhelpen. Ik vergelijk het met bijv. terugroepacties voor fysieke producten waar een gezondheids- of veiligheidsrisico aan wordt ontdekt. Als mijn merk CV ketel door een ontwerp- of productiefout ieder moment kan ontploffen verwacht ik van de fabrikant (mogelijk via de installateur) daar een oplossing voor te krijgen, onderhoudscontract of niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.