Beveiligingsgat Citrix nog niet gedicht
“Bij veel organisaties staat de digitale voordeur open. Daardoor zijn ze een makkelijke prooi voor hackers.” Dat is de conclusie van Frank Groenewegen, directeur bij cyberbeveiliger Fox-IT, nu de eerste aanvallen op Citrix-servers opduiken.
Citrix werd in december gewaarschuwd voor een gapend gat in de beveiliging van een paar producten. Bedrijven, overheden en andere organisaties over de hele wereld hebben interne applicaties op zulke systemen staan. Ze gebruiken die software onder meer om hun werknemers op afstand te laten werken. Op maandag had het Nationaal Cyber Security Centrum (NCSC) een dringende oproep aan gebruikers gedaan om zo snel mogelijk een voorlopig lapmiddel in hun systeem te zetten, om de kans op een hack te verkleinen.
In de afgelopen weken hebben hackers een zogenoemd exploit gemaakt, een programmaatje dat ze als wapen gebruiken om via het gat binnen te komen. Dat kwam op vrijdag uit. Hackers deelden het razendsnel met elkaar. Binnen een paar uur zag Fox-IT de eerste aanvallers langskomen. Het bedrijf heeft zogeheten honeypots geplaatst, een lokaas. “Die doen zich voor als kwetsbare Citrix-servers. Ze werden vrijdag achter elkaar gehackt.”
Wie de aanvallen uitvoeren, is niet bekend. Het kunnen criminelen of spionnen zijn, maar “elke zolderkamerhacker kan zich nu met een druk op de knop toegang verschaffen tot een kwetsbare Citrix-server. Als gedupeerde moet je maar hopen dat het bij jou een kind is dat het doet uit kattenkwaad.” In het ultieme rampscenario liggen honderden grote Nederlandse instellingen tegelijk plat. Om uit te zoeken wat er aan de hand is en hoe dat kan worden opgelost, is heel veel mankracht nodig. Groenewegen vraagt zich af of Nederland daar wel tegen opgewassen is.
Als bedrijven afgelopen maandag hun digitale voordeur nog open hadden staan, kunnen ze ervan uitgaan dat ze gehackt zijn, aldus Groenewegen. Het beste dat ze nu kunnen doen “is als de brandweer maatregelen doorvoeren en uitzoeken wat er is gebeurd toen de deur enkele dagen op een kier stond. En als je niet kunt uitsluiten dat mensen binnen zijn geweest, moet je het alsnog melden bij de Autoriteit Persoonsgegevens.”
Groenewegen heeft ook kritiek op Citrix. Het grote Amerikaanse bedrijf is al een maand bezig om het gat te dichten. Die reparatie, een patch, komt op zijn vroegst volgende week en misschien later. “Zo'n groot bedrijf, zo'n wezenlijke kwetsbaarheid bij zeer veel belangrijke ondernemingen, en er dan zo lang over doen om met een patch te komen. Dat mag toch niet.”
UPDATE
De gemeenten Amsterdam en Rotterdam hebben uit voorzorg de externe toegang tot hun Citrix-netwerk tijdelijk afgesloten. Die zijn kwetsbaar door een fout in het systeem. Gemeenten gebruiken Citrix om thuis te werken. Den Haag had de Citrix-servers in de nacht van donderdag op vrijdag uitgeschakeld, maar vrijdagochtend zijn ze weer aangezet. Den Haag houdt de computersystemen in de gaten en overweegt om ze voor het weekeinde weer uit te zetten.
Aanleiding is een advies van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid van donderdag om de servers uit voorzorg uit te schakelen. Ook kleinere gemeenten hebben besloten om Citrix uit te schakelen.
(bron: ANP)