image

Overheid laat aanpak van Citrix-kwetsbaarheid onderzoeken

zondag 8 maart 2020, 09:28 door Redactie, 10 reacties

De overheid gaat de manier waarop het is omgegaan met de ernstige kwetsbaarheid in Citrix onderzoeken. Dat heeft minister Grapperhaus van Justitie en Veiligheid aan de Tweede Kamer laten weten. De minister reageerde op Kamervragen van CDA-Kamerlid Van Dam.

Via het beveiligingslek was het mogelijk om Citrix-systemen op afstand over te nemen. Aanvallers hebben dit de afgelopen maanden ook op grote schaal gedaan. De kwetsbaarheid werd in december openbaar gemaakt, terwijl er nog geen update beschikbaar was. Wel kwam Citrix met mitigatiemaatregelen om systemen te beschermen. Van Dam wilde van Grapperhaus weten of die maatregelen binnen de overheid goed zijn doorgevoerd.

Volgens de minister zijn er geen aanwijzingen dat Rijksoverheidsdiensten de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist hebben doorgevoerd. "Wel is bij het NCSC bekend dat er binnen de Rijksoverheid nog organisaties waren die deze oplossing niet of niet tijdig hebben doorgevoerd. Informatie van semipublieke organisaties is niet beschikbaar", aldus Grapperhaus. De minister voegt toe dat hij deze laat evalueren. "De daaruit geleerde lessen worden samen met de kabinetsreactie op het WRR-rapport ‘Voorbereiden op digitale ontwrichting’ met uw Kamer gedeeld."

Van Dam vroeg Grapperhaus ook om een reactie op de ongeschreven regel dat fabrikanten 90 dagen de tijd krijgen om gemelde kwetsbaarheden te verhelpen voordat details openbaar worden gemaakt. De kwetsbaarheid in Citrix was door drie verschillende partijen aan Citrix gerapporteerd. Volgens Citrix liet één van de drie beveiligingsbedrijven weten informatie over het beveiligingslek op 23 december te zullen publiceren, ongeacht of er een beveiligingsupdate beschikbaar was.

"Elke kwetsbaarheid is anders en elke leverancier kan eigen richtlijnen hanteren voor het tijdig verhelpen van een kwetsbaarheid", antwoordt de minister. "Per leverancier, maar ook rekening houdend met het type systemen, zal maatwerk nodig zijn. Ik hecht er wel waarde aan dat bedrijven omwille van veiligheid van ICT-systemen een duidelijk beleid hanteren voor het zo snel mogelijk verhelpen van kwetsbaarheden."

Reacties (10)
08-03-2020, 10:25 door Erik van Straten
Is er al onderzoek gedaan naar, en een uitslag bekend van, waarom in 2019, met name overheden, lekken in VPN-serversoftware niet hadden gepatcht, terwijl er allang updates beschikbaar waren? (zie o.a. https://www.security.nl/posting/643499/Deel+ministerie+J%26V+maandenlang+kwetsbaar+door+Pulse+Secure-lek).

En waarom bizarre vragen stellen, zoals
Van Dam vroeg Grapperhaus ook om een reactie op de ongeschreven regel dat fabrikanten 90 dagen de tijd krijgen om gemelde kwetsbaarheden te verhelpen voordat details openbaar worden gemaakt.
Alsof cybercriminelen 90 dagen wachten met het exploiten van kwetsbaarheden nadat ze deze hebben ontdekt en natuurlijk niet aan de softwaremaker hebben gemeld.
08-03-2020, 11:35 door The FOSS
Door Erik van Straten: En waarom bizarre vragen stellen, zoals
Van Dam vroeg Grapperhaus ook om een reactie op de ongeschreven regel dat fabrikanten 90 dagen de tijd krijgen om gemelde kwetsbaarheden te verhelpen voordat details openbaar worden gemaakt.
Alsof cybercriminelen 90 dagen wachten met het exploiten van kwetsbaarheden nadat ze deze hebben ontdekt en natuurlijk niet aan de softwaremaker hebben gemeld.

De volledige vraag luidt als volgt:
Vraag 6
Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?

(bold door mij)

Dat klinkt al heel wat minder bizar.
08-03-2020, 14:16 door Erik van Straten
Door The FOSS: De volledige vraag luidt als volgt:
Vraag 6
Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?

(bold door mij)

Dat klinkt al heel wat minder bizar.
"Lek" is m.i. veel te vaag.

Of, wanneer en op welke wijze een ICT kwetsbaarheid of een andere situatie die ICT risico's oplevert, en voor welke partij(en) precies, gemeld mag/moet worden, is veel te afhankelijk van de situatie om daar een standaard termijn aan te knopen. Immers, zodra iemand zo'n kwetsbaarheid en/of risico ontdekt, is er sprake van security by obscurity.

Heel vaak zijn fixes voor kwetsbaarheden helemaal niet ingewikkeld, en zadelen leveranciers gebruikers op met onnodige risico's uit -eigen- economische overwegingen. Lees de timelines maar eens van openbaringen op de Full Disclosure maillijst; de meesten zijn om te janken qua tijdsduur en communicatie, of worden niet als kwetsbaarheid beschouwd door de leverancier.

Had ik 90 dagen moeten wachten voordat ik https://www.security.nl/posting/646927/IBM+Aspera+Connect+security schreef? Waarbij een leverancier willens en wetens (https://www.ibm.com/support/pages/security-bulletin-denial-service-vulnerability-affecting-aspera-connect-37-or-38), vandaag precies 90 dagen later, software beschikbaar blijft stellen met daarin een (ingetrokken) https certificaat voor local.connectme.us met bijbehorende private key?

Moet ik het feit dat Chrome en Safari de gebruiker niet waarschuwen (en Firefox mogelijk, maar niet zeker) dat bovengenoemd certificaat is ingetrokken, eerst aan Google, Safari en Mozilla melden en dan 90 dagen wachten voordat ik dit schrijf?
08-03-2020, 20:32 door Anoniem
had 10 jaar eerder ook echt al wel urgent geweest, maar beter laat dan nooit.
Er zit alleen vast wel iets aan te komen waarvoor Citrix alsnog als ongevaarlijk en niet-kwetsbaar moet worden bestempeld waarbij er enkel beperkt tijd en ruimte is om uitgebreid en gefundeerd bij de bevindingen en ervaringen stil te staan.
09-03-2020, 06:46 door The FOSS
Door Erik van Straten:
Door The FOSS: De volledige vraag luidt als volgt:
Vraag 6
Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?

(bold door mij)

Dat klinkt al heel wat minder bizar.
"Lek" is m.i. veel te vaag.

Of, wanneer en op welke wijze een ICT kwetsbaarheid of een andere situatie die ICT risico's oplevert, en voor welke partij(en) precies, gemeld mag/moet worden, is veel te afhankelijk van de situatie om daar een standaard termijn aan te knopen. Immers, zodra iemand zo'n kwetsbaarheid en/of risico ontdekt, is er sprake van security by obscurity.

Die 90 dagen lijken me vooral bedoeld voor situaties waar ontdekken van het lek niet triviaal en niet te verwachten is.

Door Erik van Straten: Heel vaak zijn fixes voor kwetsbaarheden helemaal niet ingewikkeld, en zadelen leveranciers gebruikers op met onnodige risico's uit -eigen- economische overwegingen. Lees de timelines maar eens van openbaringen op de Full Disclosure maillijst; de meesten zijn om te janken qua tijdsduur en communicatie, of worden niet als kwetsbaarheid beschouwd door de leverancier.

Je beschrijft de rationale achter de patch Tuesday.

Door Erik van Straten: Had ik 90 dagen moeten wachten voordat ik https://www.security.nl/posting/646927/IBM+Aspera+Connect+security schreef? Waarbij een leverancier willens en wetens (https://www.ibm.com/support/pages/security-bulletin-denial-service-vulnerability-affecting-aspera-connect-37-or-38), vandaag precies 90 dagen later, software beschikbaar blijft stellen met daarin een (ingetrokken) https certificaat voor local.connectme.us met bijbehorende private key?

Moet ik het feit dat Chrome en Safari de gebruiker niet waarschuwen (en Firefox mogelijk, maar niet zeker) dat bovengenoemd certificaat is ingetrokken, eerst aan Google, Safari en Mozilla melden en dan 90 dagen wachten voordat ik dit schrijf?

Gedachten over de redenen voor dergelijke misstanden zijn eigenlijk niet meer dan speculatie. Dus misschien toch beter wachten en de verantwoordelijke partijen blijven spammen.
09-03-2020, 08:59 door Anoniem
Juist de echte antwoorden krijgen we nooit.
Geen echte Full Disclosure of nog meer disclosure naar de cybercriminelen kant dan t.b.v. de beveiliging. Relatief gezien dan.
Men wil liever door blijven rommelen.
#sockpuppet
09-03-2020, 10:22 door Anoniem
Door Erik van Straten:
Heel vaak zijn fixes voor kwetsbaarheden helemaal niet ingewikkeld, en zadelen leveranciers gebruikers op met onnodige risico's uit -eigen- economische overwegingen. Lees de timelines maar eens van openbaringen op de Full Disclosure maillijst; de meesten zijn om te janken qua tijdsduur en communicatie, of worden niet als kwetsbaarheid beschouwd door de leverancier.

Dat krijg je als je als melder je eigen standaards stelt voor wat er een kwetsbaarheid is en wat de leverancier naar jouw
oordeel moet doen om het op te lossen. Dan ga je teleurgesteld worden, maar dat roep je dan wel over jezelf af.

Wat doe jij als je buurman op zondag avond aanbelt en zegt "ik vind het een troep in uw tuin en ik vind dat u dat moet
opruimen en als het morgenavond niet OK is ga ik er mee rond dat u een slechte buurman bent en ga ik tegen de
gemeente vertellen dat uw troep in de tuin een risico vormt van brand".

Dan ga je ook niet enthousiast je laarzen aantrekken, een dag vrij nemen, en de rotzooi opruimen.
Maar dit is wel de manier waarop "vulnerabilities" gemeld worden. Vaak is het gezever (zie bijv "kr00k") en is het in
het proces van de leverancier helemaal niet zo simpel om dat even op te lossen (bijvoorbeeld omdat er heel veel
versies in omloop zijn, dat zag je ook bij dat Citrix lek).
De fabrikant dan aan je zelfgedefinieerde standaards houden (waarvan geen sprake is in de overeenkomst tussen
leverancier en klant) gaat dan niet echt werken.
09-03-2020, 11:02 door Anoniem
Maar moeten we dan niet in de eerste plaats naar onszelf wijzen (de analogie met eigen tuin opruimen is wel een mooi voorbeeld, behalve "manen", een briefje en een bezoekje van een door de gemeente aangestelde omgevingsmedewerker, die vervolgens ook niets mee doet (zijn opdracht), wordt er niet al te veel "opgezomerd" tegenwoordig, zeker door een deel van de bewoners). Het lijken de gezapige dagen van Piet Paaltjes wel, "security through obscurity met de trekschuit", vervolgens theetje drinken - overvaren - Overtoom.

Als je niet voldoende patcht, upgrade en update, eigen schuld dikke bult. Als je niet door hebt dat cybercriminelen en malcreanten altijd voor hetzelfde laaghangende fruit gaan, idem dito. Die systemen dus voor de op kieren staande rammelende "windows" (kon "windows" niet nalaten te vermelden dit keer, maar het kan ook iets anders zijn).

Dezelfde kwetsbare routes, zelfde uitvoerbare bestanden, zelfde obfuscatie methoden, zelfde dlls, zelfde plekken waar er gekeken moet worden naar injectie dumps....en toch ...... gaat het bij sommige lieden en ook bij sommige bedrijven steeds weer mis. En dan weer de terugkerende jeremiade & litanie over de gevolgen van toenemende ransomware en data breaches. Hoe zou dat nu toch komen?

Zo draaien we in hetzelfde kringetje rond als een hond achter de eigen staart.

In de tussentijd blijft de Word Press website developer verder kwetsbare PHP inkloppen, vervangt de onderhouder van het CMS de verlaten plug-in code niet, en stelt de settings verkeerd in. De hoster laat het ook nog afweten waar het header security e.d. betreft. Want ja voor dat geld, he... en we moeten ook nog iets exorbitants uitkeren straks. Dus daar ga je dan,
en zo herhaalt zich alles weer. In het "voorkomen is beter dan genezen" land wordt weinig volgens dit motto gedaan.

Explosies van malware, met een vloedgolf van digitaal en andere virus als gevolg.

luntrus
09-03-2020, 14:32 door Erik van Straten - Bijgewerkt: 09-03-2020, 14:33
Door Anoniem: Dat krijg je als je als melder je eigen standaards stelt voor wat er een kwetsbaarheid is en wat de leverancier naar jouw oordeel moet doen om het op te lossen.
Je hebt gelijk dat niet alle kwetsbaarheden even groot zijn, en melders zaken niet altijd goed begrijpen en/of overzien. Daar komt bij dat mensen allerlei redenen kunnen hebben om (in hun ogen) misstanden te melden.

Aan de andere kant worden we overspoeld met kwetsbare software en systemen, en hebben veel fabrikanten er geen of weinig geld voor over om fouten te herstellen, vooral als hun spulleboel functioneel voldoet. En is het dus in hun belang om zo lang mogelijk te wachten met het herstellen van fouten, waarbij zij er niet voor schromen om melders erop te wijzen geheimhouding te betrachten om "gebruikers niet in gevaar te brengen" (of zelfs met juridische stappen te dreigen). Gemakshalve "vergetende" dat gebruikers al in gevaar zijn zodra iemand zo'n kwetsbaarheid kan vinden, en het nog maar de vraag is of gebruikers niet beter af zouden zijn als zij onmiddellijk op de hoogte van de kwetsbaarheid gesteld zouden worden (en passende maatregelen kunnen nemen om zich te beschermen, eventueel door systemen tijdelijk uit te schakelen of door op software van een andere leverancier over te stappen).

Feit is dat Citrix, na te zijn gewezen op een ernstige kwetsbaarheid, niet meteen een patch heeft uitgebracht, maar een workaround publiceerde - die niet op alle versies van hun gateway-achtige producten bescherming bleek te bieden. Door die workaround te analyseren, wisten ook minder ethische mensen waar de kwetsbaarheid uit bestond en hebben dat gepubliceerd - ruim voordat Citrix definitieve patches uitbracht.

Op z'n zachtst gezegd vind ik het opmerkelijk dat veel software- (en hardware-) makers kennelijk nauwelijks of niet zelf naar kwetsbaarheden in hun producten zoeken - die derden vervolgens blijken te kunnen vinden (vaak zonder sources en met een simpel PCtje op de keukentafel). Als software/hardwaremakers beter hun best zouden doen op dit punt, zouden zij veel minder last en te vrezen (imagoschade) hebben van melders die hun agenda proberen te bepalen. Helaas doen zij dat niet en zien melders, die ICT security en privacy een warm hart toedragen, zich genoodzaakt om kwetsbaarheden te melden - via "responsible-" en/of "coordinated-" tot full-disclosure. Don't shoot the messenger: zij/hij is niet degene die de kwetsbaarheid geïmplementeerd heeft - die kwaadwillenden al eerder gevonden kunnen hebben en wellicht allang misbruiken.
10-03-2020, 11:55 door Anoniem
Overheid....ze besteden meer tijd aan het onderzoeken achteraf dan aan preventie.


En zo is het altijd al geweest en ik spreek uit ervaring.

Want met het vingertje wijzen is een stuk makkelijker dan het beoordelen en vrijmaken van resources voor preventief werken.Laat staan dat het begrepen wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.