Twee weken geleden schreef ik over de aanval op de Universiteit Maastricht in de vorm van een timeline. Anders gezegd, een chronologisch overzicht van alles wat er gebeurde en bovenal wat er allemaal fout ging. Deze blog werd, zo zagen wij aan de statistieken, bijzonder goed ontvangen. Logisch dat ik dit daarom graag nog een keer doe, maar dan moet er wel iets soortgelijks gebeuren. En jawel hoor, zo geschiedde. U voelt hem al aankomen, deze week in de blog, alles over het beveiligingslek in de Citrix-servers.
Het is donderdag 9 januari 10:47 wanneer er een relatief onschuldig bericht wordt gepubliceerd door security.nl. Er zouden kwetsbaarheden gevonden zijn in Citrix-servers en, belangrijker, aanvallers zouden actief aan het zoeken zijn naar bedrijven waarbij dit het geval is. Want, op dat moment is er nog geen beveiligingsupdate beschikbaar om de boel te beschermen. “Ook bedrijven in Nederland zouden risico lopen”, wordt er geschreven. Voor de techneuten onder u, de kwetsbaarheid bevindt zich in de Citrix Application Delivery Controller (ADC) en Citrix Gateway. U mag dit vergeten of u mag nu heel hard “oh shit” roepen, afhankelijk van waar uw hart sneller van gaat kloppen. Via het beveiligingslek is het mogelijk voor een aanvaller om op afstand willekeurige code op het systeem uit te voeren. Foute boel. Zo’n foute boel dat de kwetsbaarheid is beoordeeld met een 9,8 op een schaal van 10 wanneer het om “ernst van” gaat. Her en der gaan nu toch wel alarmbellen klinken want zo zou het ook om 3700 Nederlandse bedrijven gaan. Vanuit allerlei kampen op Twitter wordt inmiddels bevestigd dat aanvallers een exploit hebben ontwikkeld, dubbel foute boel.
Gedurende het weekend wordt er steeds meer bekend over het lek en lijkt het toch langzamerhand een wereldwijde impact te gaan hebben. Van Citrix zelf is er op dat moment nog weinig vernomen afgezien van het standaard “We weten het, en werken eraan”. Mensen die er verstand van hebben komen ondertussen met een tijdelijke oplossing in afwachting van de beveiligingsupdate. zo kunnen organisaties wel de speciaal geprepareerde requests blokkeren waarmee de aanval is uit te voeren. We nemen een stapje naar maandag 13 januari. Onderzoekers hebben hun weekend goed besteed en komen met de melding dat honderden Nederlandse Citrix-servers kwetsbaar zijn voor aanvallen. Wereldwijd wordt op dat moment gesproken over ruim 25.000 servers waaronder Fortune-500 bedrijven, overheidsinstanties, banken, ziekenhuizen en energiemaatschappijen. Langzamerhand begint de realisatie te komen dat er wel echt maatregelen getroffen moeten worden. Maar dan is het eigenlijk al te laat.
Op woensdag 15 januari komt de eerste berichtgeving over een Citrix aanval in Nederland. Het doelwit is het Medisch Centrum Leeuwarden, MCL, één van de grootste ziekenhuizen van Nederland. Zij hebben als gevolg van de aanval op de Citrix-servers al het dataverkeer met de buitenwereld per direct afgesloten. Hierdoor kunnen patiënten niet bij hun elektronisch patiëntendossier en hindert dit ook het dataverkeer met andere ziekenhuizen. Door het volledig afsluiten van al het dataverkeer willen ze voorkomen dat aanvallers bij het interne netwerk terecht kunnen komen.
Diezelfde dag, een paar uur later, is het de beurt aan de gemeente Zutphen. Ook zij zijn slachtoffer geweest van een aanval op de Citrix-servers. Het opvallende hieraan is dat de gemeente met het volgende statement komt: “Wij hebben maandag nog een kwetsbaarheid in het netwerk gerepareerd, en de inbraak heeft dinsdag plaatsgevonden”. Kortom, zij hebben de mitigatiemaatregelen, welke door Citrix naar buiten zijn gebracht als tijdelijke oplossing, uitgevoerd. Overigens, niet geheel relevant maar toch, de gemeente Zutphen maakte op dat moment ook nog gebruik van computers met Windows 7 waar geen beveiligingsupdates meer voor worden gegeven. Om hoeveel computers het gaat wil de gemeente vooralsnog niet kwijt. Maar één is er al één teveel.
Dan volgt nu een opvallende uitspraak van Touria Meliani, woordvoerder van de verantwoordelijke wethouder voor de gemeente Amsterdam op het gebied van ICT. Onthoud hierbij dat het dus inmiddels bekend is dat ongeveer iedereen met Citrix-servers kwetsbaar is en dat er in Zutphen en Leeuwarden al aanvallen zijn geweest. Zij claimt, uit naam van die wethouder dus, dat er bij de gemeente Amsterdam geen zorgen zijn want:
“In december is er meteen een update vanwege het beveiligingslek gedaan.”
Dus, overal om je heen zie je aanvallen. Citrix komt met de berichtgeving dat het momenteel nog geen beveiligingsupdates heeft die werken, enkel die hierboven genoemde mitigatiemaatregel en alsnog claim je dat je wel veilig bent want je hebt in december een update gedaan. We zullen eerlijk met u zijn. Als Rootsec zijnde viel onze mond hier toch wel wat van open. De woordvoerder gaat vervolgens verder door te zeggen dat het systeem van de gemeente “op dit punt niet gehackt kan worden”. Wellicht niet de handigste uitspraak in de wetenschap dat hackers actief op zoek zijn naar slachtoffers.
Afgelopen nacht, 00:43, komt het bericht waar iedereen al bang voor was. De maatregelen, welke door Citrix naar voren werden geschoven als tijdelijke oplossing, werken lang niet altijd. Hiervoor waarschuwt het Nationaal Cyber Security Centrum van het ministerie van Justitie en Veiligheid. De vrees is dat er de komende tijd nog veel meer aanvallen naar voren zullen komen. Beveiligingsbedrijf Fox-IT kwam namelijk nog met het bericht dat er deze week een “gigantische piek in aanvallen te zien was”. Dit wordt ook bevestigd door het NCSC.
Het is vandaag 17 januari 2020. U bent aan het einde gekomen van deze blog maar we zijn nog lang niet aan het einde van dit verhaal. Citrix kwam vandaag namelijk met een update over de beveiligingsupdate. Voor Citrix ADC en Citrix Gateway versie 11.1 en 12.0 zouden de updates op 20 januari moeten verschijnen. Voor versies 12.1 en 13.0 staat de update voor 27 januari gepland. Tot die tijd lijken hackers vrij spel te hebben en kunnen bedrijven maar weinig uitrichten ter preventie. Het enige dat er gedaan kan worden is het updaten (of herinstalleren) van de software naar een versie waarbij de door Citrix vrijgegeven workaround wel werkt. Als Rootsec zijnde hopen we dat elke organisatie die dit leest en gebruik maakt van Citrix, dit per direct doet. Of eigenlijk, al lang heeft gedaan.
Wat wij er verder van vinden? Want daarom leest u dit, om onze mening te horen. Wij denken dat Citrix het lek, alsmede hun vermogen om het snel te repareren, heeft onderschat. Als je naar de feiten kijkt waren ze bij Citrix op de hoogte van het lek maar bleef een werkende beveiligingsupdate uit. Het enige dat ze gaven was een workaround. Iets wat, althans zo is onze ervaring, nooit volledig alle gaten dicht. En zo bleek ook nu. Kortom Citrix kwam te laat met de verkeerde maatregelen. Natuurlijk is dit achteraf makkelijk praten, maar wij hadden liever gezien dat Citrix meteen had gecommuniceerd “Sorry, onze servers zijn momenteel heel kwetsbaar en we hebben reden om te geloven dat het binnenkort flink misbruikt gaat worden, haal daarom per direct uw Citrix systemen offline”. Dit is een zeer ingrijpende maatregel, dat begrijpen we. Maar op dat moment was dat de enige oplossing die 100% zou voorkomen dat bedrijven en organisaties, zoals het MCL en de gemeente Zutphen, aangevallen zouden worden. Waarna ze overigens alsnog de boel offline moesten gooien. Oh en de gemeente Amsterdam? Die hebben na hun eerdere “wij zijn onaantastbaar” toch ook maar de systemen op offline gezet. Laten we voor ze hopen dat het niet te laat was. Wordt vervolgd!