image

Onderzoeksraad voor Veiligheid start onderzoek naar Citrix-lek

donderdag 2 juli 2020, 07:47 door Redactie, 5 reacties

De Onderzoeksraad voor Veiligheid start een onderzoek naar het beveiligingslek in Citrix dat vorig jaar december bekend werd. Eerder liet de overheid al de aanpak van het Citrix-lek onderzoeken. Het onderzoek van de Onderzoeksraad is met name gericht op de aanpak in de maanden na de ontdekking van de kwetsbaarheid. Zo wordt er gekeken naar de verantwoordelijkheid van bedrijven en overheid, welke bevoegdheid ze hebben om de digitale veiligheid te borgen en hoe die zijn ingezet om de gevolgen van de kwetsbaarheid te beperken.

Het doel van het onderzoek is het vergroten van de digitale veiligheid in Nederland. Gisteren meldde securitybedrijf Fox-IT nog dat er in juni meer dan 8100 Citrix-servers kwetsbaar waren. Verder werden er 3300 gecompromitteerde Citrix-servers ontdekt, waarvan 39 in Nederland. 23 procent van de gecompromitteerde servers was door de organisatie in kwestie gepatcht, maar niet op tijd. Daardoor hadden aanvallers al een backdoor kunnen installeren.

Reacties (5)
02-07-2020, 08:26 door Anoniem
Opvallend is nog wel dat NCSC de kwetsbaarheid initieel als “medium” risico classificeerde en pas na een week het risico verhoogde naar “hoog” https://advisories.ncsc.nl/advisory?id=NCSC-2019-0979 datzelfde gebeurde ook bij de Pulse Secure VPN kwetsbaarheid, dat ook al zo escaleerde https://advisories.ncsc.nl/advisory?id=NCSC-2019-0353 alleen zat er toen maanden tussen.
03-07-2020, 05:38 door Legionnaire
Die patch heeft niet veel geholpen, want Fox-IT heeft nadien veel servers gevonden met meerdere backdoors.
Zoals Citrix en FOX-IT al aangeven, heeft het vooral te maken met de infrastructuur en interne beveiliging van bedrijven.
Hier kan Citrix niets aandoen, als een onderneming zijn beveiliging niet op orde heeft en dat komt in de praktijk zeer vaak voor.
03-07-2020, 10:43 door Anoniem
Door Anoniem: Opvallend is nog wel dat NCSC de kwetsbaarheid initieel als “medium” risico classificeerde en pas na een week het risico verhoogde naar “hoog” https://advisories.ncsc.nl/advisory?id=NCSC-2019-0979 datzelfde gebeurde ook bij de Pulse Secure VPN kwetsbaarheid, dat ook al zo escaleerde https://advisories.ncsc.nl/advisory?id=NCSC-2019-0353 alleen zat er toen maanden tussen.

Dat klopt, meestal gebeurt dat wanneer er exploit-code beschikbaar komt (zoals bij Pulse). Of als de impact groter blijkt dan gedacht (zoals bij Citrix).
03-07-2020, 10:55 door Anoniem
Door Legionnaire: Die patch heeft niet veel geholpen, want Fox-IT heeft nadien veel servers gevonden met meerdere backdoors.
Foute aanname, die patch was ervoor om nieuwe inbraken te verhinderen en is/was nooit bedoeld om reeds gedane inbraken te verwijderen.
03-07-2020, 12:42 door Anoniem
Door Legionnaire: Die patch heeft niet veel geholpen, want Fox-IT heeft nadien veel servers gevonden met meerdere backdoors.
Patch (remediation) werkt wel, op 3 (of 4 build) versies niet wegens een andere bug in die versies.
Maar als jij niet 1 van die versies draaide en de patch geïnstalleerd had, dan was er helemaal niets aan de hand.
De meeste waren echter te laat met patchen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.