image

Duizenden bedrijven met Citrix-systemen nog steeds kwetsbaar

vrijdag 7 februari 2020, 17:06 door Redactie, 10 reacties

Ondanks de beschikbaarheid van beveiligingsupdates en mitigatiemaatregelen zijn wereldwijd nog duizenden bedrijven met Citrix-systemen kwetsbaar. Dat stelt Positive Technologies, het securitybedrijf dat de kwetsbaarheid in Citrix ontdekte en op 23 december vorig jaar publiceerde.

Volgens onderzoekers van het bedrijf liepen op 23 december 80.000 bedrijven in 158 landen risico door een ernstig beveiligingslek in de Citrix-software. Inmiddels zijn we anderhalve maand verder en heeft Citrix beveiligingsupdates voor de kwetsbaarheid uitgebracht. Toch zijn nog zo'n 15.000 organisaties kwetsbaar omdat ze geen updates hebben geïnstalleerd of mitigatiemaatregelen hebben doorgevoerd, aldus Positive Technologies. Dat komt neer op negentien procent van de organisaties die in eerste instantie risico liep.

In Brazilië is zelfs 43 procent van de oorspronkelijk kwetsbare organisaties nog steeds kwetsbaar, gevolgd door China (39 procent), Rusland (35 procent), Frankrijk (34 procent), Italië (33 procent) en Spanje (25 procent). Als er wordt gekeken naar de landen met het absolute aantal kwetsbare organisaties dan staat de Verenigde Staten bovenaan met meer dan 6500 bedrijven. In Nederland gaat het volgens Positive Technologies nog om 150 bedrijven die kwetsbare Citrix-systemen hebben staan.

Het Nationaal Cyber Security Centrum (NCSC) liet eerder weten dat al deze organisaties ervan uit moeten gaan dat hun systemen zijn gecompromitteerd. Beveiligingsonderzoeker Victor Gevers, die een spreadsheet van kwetsbare systemen bijhoudt, telde op 3 februari nog meer dan 8100 kwetsbare Citrix-systemen wereldwijd.

Image

Reacties (10)
08-02-2020, 11:02 door souplost
Hackers maken dus overuren nu.
08-02-2020, 13:51 door Anoniem
L.S.

Niet alleen hackers ook malcreanten en cybercriminele statelijke acteurs horen hiertoe.
Een hacker is weer zo'n algemene term, waar je van alles zich onder kan laten scharen.

Er zijn witte hackers (researchers, pentesters, technisch bevolgenen (die willen weten hoe iets werkt,
en daarom moet je dan hacken, aan resource engineering doen).
Er zijn grijze hackers (een tussengebied) en er zijn slechterikken, die we zwarte hackers noemen
(o.a. cybercriminelen, spammers, bloatware verspreiders, scammers, malcreanten, zwarte staatshackers
(met een licentie om te hacken, ja ook vloortkomend in de smaken: white, grey, and evil black).

Soms noemen sommige partijen bestaande uit bepaalde puristische white hat hackers activisten of erger,
nep nieuws verspreiders, net naar gelang waar men verbondenheid mee voelt of de loyaliteit ligt
of waarmee men collaboreren wil.

Anonymous bijvoorbeeld is slecht, NSA is goed. Main stream is goed, alternatief is slecht.
Globalist is goed, nationalist is slecht.

In die laatste zin dreigt er een globalistische dictatuur op wat goede en wat verwerpelijke info heet.

Als voorbeeldje hoe of het werkt.
Autisme toename via het gebruik van het middel round-up wordt in officiele kringen tot nep-nieuws verklaard
en daarom liefst geblokkeerd. Er wordt geen onderzoek gedaan om het te kunnen bevestigen noch om te kunnen ontkennen. Zo wordt een mening opgelegd of bepaalde zaken liever niet aangekaart.
Gebruik van round-up door particulieren zal mettertijd verdwijnen.

We wensen u allen voortschreidend inzicht om in dit alles juist te kunnen onderscheiden,
men houdt u echter nl. liefst zo dom en arm mogelijk, bedenk dat wel steeds.

Jodocus Oyevaer
08-02-2020, 14:55 door Anoniem
Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.
09-02-2020, 18:25 door Anoniem
Als je niet update dan kom je nog in de krant ook ook. Als een gevaarlijke gewetenloze gek.

Ongetesterommelsoftwareleveranciers blijven maar steeds het slachtoffer zelf spelen.

Terwijl het pure wanprestatie is.
09-02-2020, 22:21 door Anoniem
Door Anoniem: Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.


Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat?
Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.
pakken we meteen ook alle brakke RDP machines, en overige janboel aan.
Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel.

maar een level playing field graag.
09-02-2020, 23:07 door Anoniem
Door Anoniem:
Door Anoniem: Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.


Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat?
Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.
pakken we meteen ook alle brakke RDP machines, en overige janboel aan.
Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel.

maar een level playing field graag.

Regel 1 is eerlijk zijn tegen je klant.

Als jij een doos met wijn levert. Maar je weet dat de bodem van de doos nat is.

Dan heb je twee keuzes. Je zegt niks. De bodem valt eruit. Zelf stom geweest, maar dan kun je weer een nieuwe doos leveren.

Of je zegt de bodem is nat. Dan kan de klant wel denken, jij bent ook een fraaie, met je natte bodem. Totdat die zelf ook begrijpt dat je niet uit bent op onnodig bijbestellen. En dat het zonde van goeie wijn is.

Keuze 1 is nogal populair. Want de klant is dom per definitie.

Dat verdienmodel werkt ook. Maar heeft een kortere overlevingscyclus. Want er zijn twee manieren van met kloten spelen. Verticaal kan prettig zijn. Maar horizontaal doet zeer. De eerste herinnering is rap vergeten. De tweede niet.
09-02-2020, 23:55 door Anoniem
@anoniem van 22:21

Daarom moeten op dit niveau ook niet dit soort beslissingen worden genomen.
Dat zou een level hoger wel moeten gebeuren,
zodat alles op niveau's eronder verplicht is hier aan mee te doen.
Toezichthouders/waakhonden moeten nu eens iets gaan doen.

Overheid zou hier een verantwoordelijk moeten nemen zoals bij verkeersdeelname.
Verkeersdeelnemers kunnen ook niet met afgesleten banden de weg op, toch?

Eigenlijk zou een niet volledig van patches en updates voorzien device niet aan het digitale verkeer moeten kunnen deelnemen.

Dat zou de overheid ook aardig wat pecunia kunnen opleveren aan op te leggen boeten in geval van in gebreke blijven.

Ben je je parkeerbon kwijt, kost je dat ook 50 euro om de garage nog te kunnen verlaten.
Het moet gewoon mee genomen kunnen worden in het kosten-baten plaatje,
het hier niet aan voldoen moet gewoon een te dure optie worden.

Als er geen prikkel wordt gezet op voortgezette veiligheid, wordt het nog meer een "last resort issue" dan het nu al is.
Dat ligt nu eenmaal in de aard van het beestje, dat de vingertjes op het toetsenbordje zet.

J.O.
10-02-2020, 08:28 door Anoniem
Door Anoniem:
Door Anoniem: Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.


Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat?
Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.
pakken we meteen ook alle brakke RDP machines, en overige janboel aan.
Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel.

maar een level playing field graag.

".. Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat? .."

Je zit met dit dilemma in een vervelende positie. Maar als je het nader analyseert kan je proberen de vraag te beantwoorden: als jouw bedrijf op basis van een ip-block (wel)(niet) aan de digitale schandpaal wordt genageld, zou je dan je klanten (wel)(niet) blokkeren?
1. Wel+wel: dan hebben jullie reputatieschade, en worden pas daarna ransomware aanval(len) voorkomen.
2. Wel+niet: dan hebben jullie reputatieschade, en de klant gaat gewoon door op de foute weg, wachtend op een ransomware aanval
3. Niet+wel: dan hoop je dat de klant je actie begrijpt en waardeert om ransomware aanvallen te helpen voorkomen, en als hij dat niet begrijpt: wens de klant veel succes bij de eventuele migratie naar een andere (concullega) host, want de klant neemt mogelijke malwarebesmettingen en backdoors mee naar de concurrent
4. Niet+niet: dan zit je in feite samen met je klanten te wachten op ransomware aanval(len).

Als het Citrix-lek niet op uiterlijk 9 januari 2020 al gemitigeerd was, dat was de datum dat een exploit bekend werd, moet je (klant) ervan uitgaan dat hij mogelijk is besmet met malware en backdoors.
https://www.ncsc.nl/actueel/advisory?id=NCSC%2D2019%2D0979
Daarin staat ook hoe je IoC (indicator of compromise) kan vinden met een Forensic Tool gemaakt door FireEye:
https://www.poppelgaard.com/cve-2019-19781-what-you-should-know-and-how-to-fix-your-citrix-adc-access-gateway

Ik denk dat jullie aankondiging bij de (nog steeds kwetsbare) klanten van een aanstaande "niet+wel" situatie nu kansen biedt voor jullie bedrijf om de klanten te helpen, en daarmee juist reputatie op te bouwen. Als je klanten niet adequaat reageren op een mailtje, moet je misschien de klant-CEO bellen en alarmeren. Vraag de secretaresse of de CEO jullie kan terugbellen vanwege een mogelijke ransomware dreiging. Duidelijke taal spreken helpt. De "FireEye" forensic tool draaien is wel het minste wat (misschien nog net op tijd) uitgevoerd moet worden.

".. Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.."
Zou wat mij betreft mogen. Dinsdagmiddag 13u is altijd het vragenuurtje in de Tweede Kamer, misschien is er een Tweede Kamerlid dat meeleest? Mij lijkt dit inderdaad belangrijker dan een discussie over moorkoppen of chocoladegebakjes.

".. pakken we meteen ook alle brakke RDP machines, en overige janboel aan.Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel .."
Volledig eens, direct doen zou ik zeggen (dat bedoel ik eerlijk zonder sarcasme). Ik begrijp niet dat Maastricht bij iedereen de bellen doet rinkelen.

Ik ben benieuwd om hier te lezen wat jullie besloten hebben, en wat het effect daarvan is. Tot later?

Anoniem van 08-02-2020, 14:55
10-02-2020, 08:29 door Anoniem
Door Anoniem:
Door Anoniem: Dus op 6 februari zijn er nog 150 kwetsbare Citrix (netscaler) servers in Nederland. Wordt het nu niet langzamerhand tijd om man en paard te noemen? Welke organisaties hebben hun ICT zo ongelofelijk slecht ingericht? Name and shame.


Dat is een beetje lastig. Ons bedrijf host VPS machines, waar eindklanten zelf hun spullen op hosten.
Gaan we dan op ip-block basis ons bedrijf shamen, terwijl we de klanten op de hoogte houden en helpen met patchen?
Als de eindklant niet wil/kan/snapt, moeten wij dan als commerciële partij de klant blokkeren, waardoor deze naar een ander gaat?
Als de overheid alle ipadressen laat blokkeren van alle betrokken ADC's, dan werken we daar graag aan mee.
pakken we meteen ook alle brakke RDP machines, en overige janboel aan.
Als ISP's dan alle particulieren blocken die vanwege uitgaand verkeer overduidelijk onderdeel van een botnet zijn, dan komen we er wel.

maar een level playing field graag.
Waarschijnlijk is er ook een domeinnaam en/of certificaat verbonden aan dat IP en is het dus mogelijk om dat IP naar de eindgebruiker te herleiden. Voor de rest wel eens met je overwegingen - behalve het informeren van de klant heeft een VPS-hoster volgens mij niet meer verantwoordelijkheid of zelfs autoriteit.
10-02-2020, 18:34 door Anoniem
Ik denk dat een aantal van die systemen gewoon honeypots zijn.
Grote bedrijven hebben zelf hackers in dienst en die willen graag zien wat er gebeurt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.