
Op een rijtje : De Citrix-kwetsbaarheid
Afgelopen maandagochtend was het verrassend druk op de weg en in de trein. Misschien stond u zelf ook wel in een Citrix-file.
Een ernstige kwetsbaarheid in Citrix, gevolgd door een ernstige waarschuwing van het NCSC (uitzetten -nu) leidde tot minder thuiswerken en dus meer verkeer. Wat is er aan de hand? Hoe is het zo gekomen, en wat kunnen we nog verwachten?
Citrix
Citrix is een poortwachter die het mogelijk maakt om van buitenaf via het internet in te loggen op het bedrijfsnetwerk. Het product zorgt voor een veilige verbinding zodat het bedrijfsnetwerk niet zomaar door kwaadwillenden kan worden bereikt. Veel (grote) bedrijven en instellingen in Nederland gebruiken het.
Kwetsbaarheid
Maar Citrix is natuurlijk ook maar software, en software is complex en bevat altijd fouten. Sommige van die fouten kunnen misbruikt worden. Er zijn al eerder kwetsbaarheden in Citrix gevonden. Dit keer was het het Britse Bedrijf Positive Technologies die Citrix op de hoogte stelden dat ze een kwetsbaarheid gevonden hadden. Een kwetsbaarheid die er overigens al sinds 2014 in zat, en daarmee in alle huidige ondersteunde versies zit.
Door de kwetsbaarheid uit te buiten kunnen hackers van buitenaf op de Citrix server komen en daarmee op het bedrijfsnetwerk. De kwetsbaarheid maakt het mogelijk om op de server willekeurige commando’s uit te voeren.
CVE-2019-19781
Op 17 december maakte Citrix het lek bekend. Dat is verrassend, want meestal worden lekken pas bekend gemaakt als de patch er is – dat is veiliger. In plaats daarvan gaf Citrix een setje mitigatie-maatregelen uit. Acties die system-administrators moesten uitvoeren om de kwetsbaarheid te omzeilen terwijl Citrix aan de patch werkt. Dat soort acties zien er als volgt uit

(Dit is slechts een deel van de volledige lijst.
Maar met die actielijst gaf Citrix ook informatie over kwetsbaarheid prijs.

Patches, workarounds en exploits
En daarmee begon de race:
- Aan de ene kant Citrix, die zichzelf meer dan een maand gaf om het lek te patchen;
- Aan de andere kant de onderzoekers/criminelen/staten, die binnen die tijd een methode zochten om de kwetsbaarheid uit te buiten;
- En tenslotte natuurlijk de systeembeheerders die de workaround moesten installeren voordat de eerste aanval plaatsvond.
Op 23 december maakte Positive Technologies de ernst van het lek bekend. 80.000 bedrijfsnetwerken wereldwijd zouden onder de kwetsbaarheid leiden. Het rapportcijfer – de ernst van het lek – is een 9,8.
Een maand om een kwetsbaarheid te patchen waar je informatie over hebt vrijgegeven is duidelijk te veel. Op 8 januari werd duidelijk dat er actief gescand werd op de kwetsbaarheid. Systeembeheerders die voor 8 januari de workarounds hadden geïmplementeerd mogen zichzelf dus als winnaar beschouwen. Dat is wereldwijd zo’n 8,5%.
Op 9 januari verschenen de eerste publieke Proofs of Concept – en kort daarna werd de eerste malware gesignaleerd die het Citrix lek actief misbruikte om het systeem over te nemen.
Het NCSC raadde de systeembeheerders die de workaround niet hadden geïmplementeerd aan om indien mogelijk Citrix uit te zetten.
Systeembeheerders die op 8 januari of later de workaround alsnog hebben geïmplementeerd waren veilig voor nieuwe aanvallen… maar misschien ondertussen zonder het in de gaten te hebben al slachtoffer van oudere aanvallen.
Zo ontdekte securitybedrijf FireEye bijvoorbeeld dat een onbekende actor verschillende Citrix-systemen binnendrong, (andere) malware zocht en verwijderde en vervolgens de workaround draaide. Maar wel een achterdeurtje open hield zodat de actor later op zijn gemak het systeem alsnog kon binnentreden.
De eerste patches werden uitgebracht op 19 januari voor versies 11.1 en 12.0. Op 24 januari komt de rest.
Stand van zaken
Gisteravond waren volgens de DIVD wereldwijd nog ‘slechts’ 11% van de oorspronkelijk kwetsbare systemen ongepatcht en zonder workaround online. De kwetsbaarheid heeft in Nederland bovengemiddeld veel aandacht gekregen zodat de schade hier waarschijnlijk gaat meevallen – maar we zullen moeten afwachten wat het onderzoek van de mogelijk getroffen systemen oplevert.
Wat kunnen we de komende tijd verwachten? De besmette systemen zullen misbruikt gaan worden. En dat betekent in de praktijk bitcoin mining, spionage en ransomware. Het blijft wrang dat een security tool de springplank wordt voor cyberaanvallen.
Les
De belangrijkste les voor ons allemaal is dat communicatie en tempo er toe doen. Dat geldt zowel voor Citrix, dat teveel informatie over de kwetsbaarheid prijsgaf en zichzelf wel erg ruim de tijd gaf om een patch uit te brengen, als voor de systeembeheerders die wegens gebrek aan informatie of andere prioriteiten (kerstvakantie) de workaround nog niet hadden geïmplementeerd.
Tot slot nog een handig stroomdiagrammetje van @Bartr00s (Northwave) over hoe je nou moet handelen als systeembeheerder:

No Comments :