Citrix-gate, hoe zat het nu precies?

Nog niet heel lang geleden stonden criminelen alleen bij nacht en ontij voor je deur. Tegenwoordig staan ze op elk moment van de dag voor jouw digitale deur. Precies nu een groot deel van ons leven zich online afspeelt. En dat is geen toeval, online valt er inmiddels meer te halen dan in de fysieke wereld.

Op 17 december 2019 maakte Citrix melding van een kwetsbaarheid in hun producten, welke kon leiden tot onder andere externe toegang tot de Citrix-apparatuur zonder dat inloggegevens nodig waren. Op 9 januari 2020 kwam het Nationaal Cyber Security Centrum met berichtgeving over deze kwetsbaarheid, waardoor veel organisaties ervoor kozen om hun externe omgeving uit te schakelen, om een mogelijke “inbraak” te voorkomen. De fysieke impact van dit digitale risico was direct merkbaar, de Nederlandse wegen stroomden vol met zogenaamde Citrix-files. Werknemers die thuis niet meer konden inloggen moesten naar kantoor om verder te kunnen werken.

Citrix producten (Citrix Application Delivery Controller en de Netscaler Gateway) worden ingezet om medewerkers veilig plaats- en tijdonafhankelijk te laten werken. Hiermee kun je dus op afstand inloggen in jouw bedrijfssysteem, vanaf elke locatie.

Wat was er gebeurd?

Drie beveiligingsbedrijven vonden medio december 2019 een kwetsbaarheid in de techniek van Citrix en de Apache HTTP webservers en meldden dit bij Citrix. Door deze kwetsbaarheid zouden internetcriminelen zonder inloggegevens binnen kunnen dringen in bedrijfssystemen. Eenmaal binnen konden zij doen wat ze wilden; gevoelige informatie verduisteren of gijzelsoftware (ransomware) achterlaten. Dit zou zorgen voor enorme problemen voor zowel medewerkers als klanten. Vervolgens hebben de beveiligingsbedrijven Citrix niet de tijd gegund om een patch te ontwikkelen voordat het lek publiek werd gemaakt, wat wel gebruikelijk is. Daarop besloot Citrix zelf met het nieuws naar buiten te treden, inclusief een tijdelijke oplossing die het beveiligingslek moest dichten. 

Vervolgens berichtte de media dat deze tijdelijke oplossing niet zou werken op alle Citrix-servers, of bij bepaalde versies of builds. Citrix deed onderzoek en kwam tot de conclusie dat de tijdelijke oplossing wel werkte, mits deze door de beheerders volgens de aanbevolen werkwijze geïmplementeerd werd. Dit is dus niet door alle afnemers gebeurd, waardoor er nogal wat paniek ontstond.

En toen?

De tijdelijke oplossing van Citrix werkte twee weken goed, maar inmiddels was het nieuws ook doorgedrongen bij kwaadwillenden en beveiligingsbedrijven op zoek naar aandacht. Er werden steeds meer artikelen gepubliceerd met zeer beeldende informatie, wat alleen nog maar meer ellende aantrok. Vervolgens zijn er voor de verschillende Citrix versies tussen 19 en 24 januari diverse patches (extra stukje Citrix software) verschenen om dit lek definitief te dichten.

Hoe verliep dit bij NEH?

NEH streeft er te allen tijden naar om vooruitstrevend en onderscheidend te zijn. Wij hadden met onze securitypartner Northwave kort nadat het lek werd gemeld en nog vóórdat het misbruik van dit lek begon, maatregelen getroffen (met behulp van SOC / SIEM dienstverlening) om een mogelijke “inbraak” bij onze klanten onmogelijk te maken. Hiervoor hadden wij de Citrix oplossing volgens de aanbevolen werkwijze geïmplementeerd, waarna onze securitypartner Northwave deze na grondig testen effectief bevond.

Omdat onze omgeving veilig was heeft NEH, tijdens deze kwetsbaarheid, besloten de portals gewoon open te houden zodat onze klanten plaats- en tijdonafhankelijk konden blijven doorwerken. Dat is ‘de veilige werkplek’ ten voeten uit! Zowel flexibel als veilig, met een ICT-partner die je compleet ontzorgt en te allen tijde achter je staat. 

NEH heeft vervolgens ook de definitieve Citrix patch geïnstalleerd, die de kwetsbaarheid vanuit de basis oploste. 

Moraal van het verhaal

Cybercrime is realiteit en het komt steeds dichterbij. We moeten ons er met z’n allen bewust van zijn dat “gewoon een goeie firewall instellen” niet meer voldoende is. De beveiliging van je online zaken is van zeer groot belang, want de gevolgen van een inbraak kunnen verstrekkend zijn. Internetcriminelen worden steeds slimmer en de aanvallen worden steeds sterker en frequenter. 

De NEH oplossing

In veel gevallen dringt cybercrime binnen door menselijke fouten; het nietsvermoedend klikken op neplinks of het bezoeken van onveilige websites. NEH biedt speciale klassikale en e-learning trainingen om bewustzijn bij corporatiemedewerkers te creëren rondom de gevaren van online handelen. Tevens vult NEH met Identity & Access Management de beveiliging van bedrijfssystemen aan, door multi-factor authenticatie te vragen, voorwaardelijke toegang in te stellen en selfservice wachtwoordbeheer in te stellen. En ultiem kunnen NEH corporatie klanten de SOC / SIEM dienstverlening afnemen om de eigen omgeving 7x24 te laten monitoren op Atypisch gedrag. Allemaal maatregelen om jouw collega’s veiliger te laten werken.

Met al deze diensten willen wij beveiliging en continuïteit van onze cloudomgeving verder verhogen.

Wil jij meer informatie? Bel 033 - 4343 070 en vraag naar je reguliere contactpersoon of één van onze security officers.

Wil je meer weten over de vervolgstappen in ‘De Moderne Werkplek’? Op 7 april 2020 houdt NEH een kennissessie over dit onderwerp tijdens CorporatieGids LIVE in Expo Houten.