Dit weten we over het beveiligingslek in Citrix-systemen
Hackers probeerden dinsdagavond in te breken in de computersystemen van het Medisch Centrum Leeuwarden (MCL) en de gemeente Zutphen. Ze maakten daarbij gebruik van een kwetsbaarheid in de systemen van Citrix. Vijf vragen en antwoorden over het beveiligingslek in Citrix-systemen.
Wat is Citrix?
Citrix is een Amerikaans bedrijf dat software levert aan organisaties over de hele wereld. Met de software van Citrix kunnen bedrijven onder andere 'virtuele desktops' opzetten die vanuit de cloud of een netwerk te gebruiken zijn. Dit zorgt er onder meer voor dat medewerkers van een bedrijf dat gebruikmaakt van de software thuis kunnen inloggen op de servers van het bedrijf.
Wat houdt de kwetsbaarheid precies in?
Door de kwetsbaarheid in het netwerk van Citrix kunnen kwaadwillenden op afstand een code uitvoeren in het systeem. Kwaadwillenden kunnen hierdoor het hele systeem overnemen, waarschuwt het softwarebedrijf.
Matthijs Koot, werkzaam bij Secura en als onderzoeker verbonden aan de Universiteit van Amsterdam, noemt de overname van de systemen een "doemscenario". Hij vertelt dat aanvallers de kwetsbaarheid in sommige gevallen kunnen gebruiken om de interne systemen van bedrijven aan te vallen. Wie geen maatregelen treft, kan daardoor slachtoffer worden van bijvoorbeeld datalekken, gijzelsoftware en spionage.
Het Nationaal Cyber Security Centrum (NCSC) schaalt het dreigingsniveau van de kwetsbaarheid in op een 9,8 op een schaal van 1 tot 10, laat een woordvoerder weten aan NU.nl.
Welke organisaties zijn kwetsbaar?
Uit onderzoek van Bad Packets bleek zondag dat wereldwijd ruim 25.000 servers kwetsbaar zijn voor hackers. In Nederland ging het om minimaal 713 servers.
Koot scande het internet op zoek naar Nederlandse servers met deze kwetsbaarheid. Hij vond daarbij bedrijven waarbij de kwetsbaarheid een grote impact zou kunnen hebben. Koot wilde niet zeggen welke specifieke bedrijven getroffen zijn, maar sprak over meerdere ministeries, gemeenten, ziekenhuizen, ggz-instellingen, een grote bank, een grote verzekeraar en een luchthaven.
Koot heeft woensdagochtend nog een scan uitgevoerd. Toen bleek dat het aantal kwetsbare systemen in Nederland dat nog met het internet verbonden is, is gedaald van ruim 700 naar minimaal 240 servers. Hij maakt daarbij de kanttekening dat zijn scan niet volledig dekkend is. Het werkelijke aantal kan dus hoger zijn.
Zijn er al organisaties gehackt?
Het afgelopen weekend is er een zogeheten exploit uitgegeven, dat zijn programmaatjes waarmee het lek kan worden misbruikt. Daardoor worden servers op dit moment actief aangevallen.
Dinsdagavond hebben hackers geprobeerd in te breken in de computersystemen van het Medisch Centrum Leeuwarden (MCL) en van de gemeente Zutphen. De organisaties hebben als reactie de netwerken gesloten. Beide organisaties vermoeden dat hackers bij de poging gebruikmaakten van de Citrix-kwetsbaarheid.
Het is niet bekend of het de hackers daadwerkelijk is gelukt om de systemen binnen te dringen. Ook is onduidelijk of andere organisaties gehackt zijn.
Wanneer wordt het beveiligingslek verholpen?
De kwetsbaarheid in het systeem van Citrix is sinds december 2019 bekend, maar het softwarebedrijf heeft nog geen update uitgebracht die het lek verhelpt. Wel deelde Citrix maatregelen die bedrijven kunnen nemen om de risico's te beperken.
Het NCSC heeft alle getroffen Nederlandse bedrijven benaderd en aangespoord om maatregelen te nemen. Maar zelfs als alle maatregelen zijn genomen, bestaat alsnog de mogelijk dat kwaadwillenden toegang hebben tot het netwerk.
Citrix verwacht op zijn vroegst op 20 januari een update aan te kunnen bieden die de kwetsbaarheid wegneemt. Voor bepaalde versies van de firmware (in hardware geprogrammeerde software) kan een update nog enkele dagen langer op zich laten wachten.