Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn nog altijd ruim 8.000 via internet toegankelijke Citrix-systemen kwetsbaar voor aanvallen. En beheerders vergeten niet alleen hun Citrix-systemen te patchen. Er zijn ook nog bijna 9.000 Windows-servers online die via de BlueGate-kwetsbaarheid zijn aan te vallen. Dat blijkt uit cijfers van het Nederlands Security Meldpunt.
De organisatie zoekt op internet naar kwetsbare systemen en probeert vervolgens de betreffende partijen te informeren zodat die hun systemen kunnen beveiligen. Op 31 december 2019 werden er meer dan 128.000 kwetsbare Citrix-systemen geteld. Een aantal dat sindsdien steeds verder daalt, met de grootste dalingen op 15 en 16 januari. Op 27 januari kwam het aantal kwetsbare Citrix-systemen onder de 10.000. Een week verder is dat aantal inmiddels naar 8300 gedaald. Deze systemen moeten inmiddels allemaal als gecompromitteerd worden beschouwd.
Dit weekend waarschuwde de Amerikaanse overheid dat de Citrix-systemen van een groot aantal organisaties zijn gecompromitteerd, maar een aantal werd niet genoemd. Volgens het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid moeten organisaties die de mitigaties van Citrix niet voor 9 januari hebben doorgevoerd ervan uitgaan dat ze zijn gecompromitteerd. Uit cijfers van het Security Meldpunt blijkt dat het om 115.000 systemen wereldwijd gaat.
Organisaties werden vorige maand niet alleen gewaarschuwd voor de kwetsbaarheid in Citrix, ook voor twee ernstige beveiligingslekken in de Windows Remote Desktop Gateway verschenen aparte waarschuwingen. Via de kwetsbaarheden, die de naam BlueGate kregen en waar op 14 januari updates voor uitkwamen, zijn systemen op afstand over te nemen. Ondanks de beschikbaarheid van beveiligingsupdates zijn nog zo'n 8800 servers kwetsbaar. Honderden van deze servers staan ook in Nederland, aldus het Security Meldpunt.
Alleen het versturen van speciaal geprepareerde requests naar deze servers is voldoende om ze op afstand over te nemen. Het is niet nodig om over geldige inloggegevens te beschikken. Er zijn nog geen aanvallen waargenomen waarbij servers ook daadwerkelijk werden overgenomen. Wel is er exploitcode gedemonstreerd waarmee dit mogelijk is. De Remote Desktop Gateway laat gebruikers via de Windows Remote Desktop Client inloggen op machines achter de gateway binnen het bedrijfsnetwerk.
Deze posting is gelocked. Reageren is niet meer mogelijk.