Laatste update | 20 januari 2020 - De permanente patches zijn inmiddels door Citrix uitgegeven voor de ADC versie 11.1 en 12.0. Hiermee is de kwetsbaarheid die is aangetroffen te verhelpen. Het is daarom raadzaam deze patches zo snel mogelijk uit te rollen en te testen of de software weer in de operatie genomen kan worden. Voor andere versies van de ADC software en de SD-WAN WANOP oplossing is de voorlopige prognose dat de patches 24 januari uitkomen.
Op 15 januari 2020 merkte het Medisch Centrum Leeuwarden een hackpoging op. Het ziekenhuis besloot om het dataverkeer stil te leggen om zo de poging te frustreren. Op zich een goede maatregel, de aanval kan immers niet meer voortgezet worden. Maar wat kunnen organisaties vooraf doen om een hackaanval af te weren?
De weg waarlangs aanvallers het Medisch Centrum Leeuwarden probeerden te hacken is de kwetsbaarheid die is ontdekt in de producten van Citrix (CVE-2019-19781). Op 17 december 2019 bracht Citrix, een Amerikaans bedrijf dat software levert aan organisaties over de hele wereld, een handleiding uit om de kwetsbaarheid tijdelijk te verhelpen totdat er een definitieve patch beschikbaar is. Misbruik van de kwetsbaarheid bij kwetsbare systemen leidt ertoe dat een aanvaller toegang krijgt tot het systeem en daardoor ook toegang kan krijgen tot het interne netwerk van de aangevallen organisatie. Aangezien het Medisch Centrum Leeuwarden vanzelfsprekend zeer gevoelige data hanteert was het een goede zet om het zekere voor het onzekere te nemen. Ook de gemeenten Rotterdam en Amsterdam troffen maatregelen door verkeer tot de kwetsbare systemen af te sluiten.
Inzichtelijk hebben van IT-landschap is van essentieel belang
Voor iedere organisatie is het belangrijk om snel te kunnen ontdekken welke systemen bijgewerkt moeten worden met, in dit specifieke geval van Citrix-kwetsbaarheden, een noodpatch. Het inzichtelijk hebben van het landschap aan systemen en versies van de geïnstalleerde software, is samen met het hebben van een updatebeleid van essentieel belang. Op deze manier is het uitrollen van de patches goed te coördineren. Het manueel bijhouden hiervan is al snel onbegonnen werk, terwijl automatische scanners vaak vele onnodige meldingen geven. Ook kunnen dan al snel de meegebrachte apparaten van werknemers (tablet, laptop, etc) of vergeten servers, de zogenaamde schaduw-IT, over het hoofd worden gezien. Marvin_ , een hybride dienst van Computest, biedt een beter alternatief door juist de kracht van mens (manueel) en machine (automatisch) te combineren. Door automatische scans te valideren en aan te vullen met de beoordelingen van security specialisten zijn de resultaten een sterke verbetering in zowel volledigheid als accuratie.
Detecteren van een aanval
Het Medisch Centrum Leeuwarden kon de aanval detecteren, waardoor het ziekenhuis ook adequaat kon reageren op de dreiging. Het is daarom essentieel om goed te kunnen monitoren om je netwerk te kunnen beschermen. Door op de juiste situaties alerts in te stellen tijdens het monitoren, is de organisatie direct op de hoogte en kan er snel gereageerd worden op de (nood)situatie.
Advies voor organisaties die gebruikmaken van Citrix-producten
Inmiddels zijn er verschillende programma’s of exploits beschikbaar waarmee de kwetsbaarheid in Citrix-producten misbruikt kan worden. Hierdoor neemt het risico om gehackt te worden toe wanneer je als organisatie werkt met Citrix. Ons advies is daarom om de Citrix-producten in afwachting van de officiële patch uit te schakelen, of in ieder geval te voorzien van een IP-whitelist. Citrix verwacht op zijn vroegst op 20 januari een update aan te kunnen bieden die de kwetsbaarheid wegneemt.
5 tips om het risico op een hack te verkleinen
Met deze 5 tips kun je je als organisatie beter weren tegen aanvallen:
- Zorg voor een overzicht van je IT-infrastructuur en geïnstalleerde softwareversies. Werk deze lijst bovendien periodiek bij.
- Zorg voor een updatebeleid en wijs verantwoordelijken aan voor het naleven van het proces.
- Zorg voor een duidelijke segmentatie in het netwerk. De toegang tot de server moet er bijvoorbeeld niet toe leiden dat een aanvaller ook direct toegang heeft tot het complete netwerk.
- Zorg voor goede monitoring en analyseer logbestanden, zodat een aanval opgemerkt kan worden.
- Zorg voor goede backups en weet hoe deze te herstellen bij een incident.
Advies nodig?
Mocht je verdere vragen hebben over de Citrix-kwetsbaarheden of behoefte hebben aan een advies, neem dan contact met ons op via info@computest.nl of +31 (0)88 733 13 37.
Yannick Verhoeven
Security Specialist