Cyberaanvallen Citrix servers (2020)

Gepubliceerd op 16 januari 2020 om 06:56
Cyberaanvallen Citrix servers (2020)

Cybersecurity onderzoekers hebben in Nederland 713 Citrix-servers ontdekt die kwetsbaar zijn voor cyberaanvallen en cybercriminelen zoeken inmiddels actief naar kwetsbare machines. Wereldwijd gaat het om meer dan 25.000 Citrix-servers die risico lopen. De servers zijn kwetsbaar door een beveiligingslek in de 'Citrix Application Delivery Controller' (ADC) en 'Citrix Gateway' die respectievelijk bekend stonden als de 'NetScaler ADC' en 'NetScaler Gateway'.

Mogelijkheden voor cybercriminelen

Met de kwetsbaarheid, door onderzoekers ook wel 'CitrixMash' genoemd, is het voor een aanvaller mogelijk om zonder inloggegevens toegang te verkrijgen tot een Citrix omgeving welke op het internet is aangesloten. De cybercriminelen kunnen op afstand willekeurige code op het systeem uitvoeren. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 9,8 beoordeeld. Citrix maakte het beveiligingslek op 17 december bekend, maar een beveiligingsupdate is nog niet beschikbaar gemaakt. Wel kunnen organisaties maatregelen nemen om aanvallen te voorkomen.

Over de Dreiging

Onderzoekers van securitybedrijf 'Bad Packets' besloten meer dan 60.000 Citrix-servers te scannen om te kijken welk deel daarvan kwetsbaar is. De scan leverde meer dan 25.000 unieke servers op. Bijna tienduizend daarvan bevinden zich in de Verenigde Staten. In Nederland werden 713 kwetsbare machines geteld. Via de kwetsbaarheid is het mogelijk om organisaties met ransomware te infecteren. Exploits om misbruik van de kwetsbaarheid te maken zijn inmiddels online verschenen.

De kwetsbare Citrix-servers werden bij Fortune 500-bedrijven, overheidsinstanties, banken, ziekenhuizen en energiemaatschappijen aangetroffen. Onderzoeker Troy Mursch van Bad Packets zegt dat hij de informatie met overheidsinstanties wereldwijd heeft gedeeld, waaronder het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid.

Securitybedrijf Positive Technologies ontdekt dat minstens 80.000 bedrijven in 158 landen mogelijk kwetsbaar zijn. Het zou onder andere om meer dan 3700 Nederlandse bedrijven gaan.

"Bij misbruik van de kwetsbaarheid verkrijgt een aanvaller vanaf het internet directe toegang tot het lokale bedrijfsnetwerk. De aanval vereist geen toegang tot accounts en is daardoor door een externe aanvaller uit te voeren", aldus het securitybedrijf. Beveiligingsonderzoeker Kevin Beaumont meldt op Twitter dat aanvallers nu actief naar kwetsbare servers zoeken. Dit wordt bevestigd door Johannes Ullrich van het SANS Technology Institute. Op dit moment zijn er nog geen publieke exploits bekend, maar Ullrich laat weten dat hij van betrouwbare bronnen heeft vernomen dat zij erin zijn geslaagd om een werkende exploit te ontwikkelen.

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit adviseert organisaties met de kwetsbare Citrix-oplossingen om maatregelen te nemen. Hoewel er nog geen update beschikbaar is kunnen organisaties wel de speciaal geprepareerde requests blokkeren waarmee de aanval is uit te voeren, aldus het CERT/CC. Daarnaast heeft Citrix mitigatiestappen voor de kwetsbaarheid gepubliceerd.

 

Nog geen oplossing voor Citrix-klanten

De kwetsbaarheid op 17 december 2019 kenbaar gemaakt op de support website van Citrix . Door Citrix is er nog altijd geen patch die het probleem definitief verhelpt waardoor verschillende grote organisaties kwetsbaar zijn.

Om welke producten gaat het?

De kwetsbaarheid bevindt zich in de door Citrix ontwikkelde Application Delivery Controller (ADC), NetScaler en de Citrix Gateway oplossingen en is van toepassing op alle versies van 10.5, 11.1, 12.0, 12.1 tot en met 13.0.

Wel is er door Citrix op 11 januari 2020 een zogenoemde 'Fix Timeline' gepubliceerd waarin aangegeven wordt welke versie op welk moment een patch kan verwachten. De eerste fix wordt pas verwacht vanaf 20 januari voor een van de versies van Citrix (versie 11.1). De patches voor andere versies worden later in januari verwacht.

Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid, dat eerder nog bekend stond als US-CERT, heeft een tool uitgebracht waarmee organisaties kunnen testen of er binnen hun netwerk kwetsbare Citrix-servers worden gebruikt.

Via de tool van het CISA kunnen organisaties controleren of ze risico lopen. Een vereiste is wel de aanwezigheid van Python. Naar verwachting zal Citrix volgende week met een beveiligingsupdate komen. Volgens beveiligingsonderzoeker Florian Roth kunnen organisaties die de mitigatiemaatregelen niet voor het uitkomen van de exploit hebben doorgevoerd eigenlijk hun Citrix-systemen niet meer vertrouwen.

Cyberaanvallen in Nederland

Onderzoekers van het NFIR CERT hebben onderzoek gedaan naar verschillende kwetsbare Citrix servers in Nederland middels open bronnen. Daarbij is vastgesteld dat van de 5800 publiek geïdentificeerd Citrix-omgevingen in Nederland, 1300 tot op heden kwetsbaar zijn voor aanvallen van buiten met deze nieuwe kwetsbaarheid.

Maatregelen

Totdat de updates voor de verschillende kwetsbare versies van Citrix-omgevingen worden uitgegeven wordt door Citrix en het NCSC aangeraden om zogenoemde noodmaatregelen te treffen om aanvallen te voorkomen - deze noodmaatregelen zorgen ervoor dat de kwetsbaarheid niet langer te misbruiken valt.

Hierbij dienen de volgende stappen genomen te worden om de Citrix omgevingen te beschermen:

  • Breng in kaart welke direct vanaf het internet benaderbare Citrix-omgevingen binnen de organisatie aanwezig zijn
  • Voer de mitigerende maatregelen welke door Citrix afgegeven zijn uit op elke Citrix-server waarop de kwetsbaarheid van toepassing is.
  • Start de Citrix-omgeving opnieuw op om de mitigerende maatregelen toe te passen

Meer informatie over deze noodmaatregelen

Indicatoren van compromis

Er is inmiddels een Indicator of Compromise beschikbaar voor het aanvalssscript dat is vrijgegeven op 11 januari - deze indicator kan mogelijk vaststellen of de omgeving reeds door een aanval geraakt is.

Voor Citrix beheerders (IoC):

  • Er zijn .xml bestanden aanwezig binnen de map /netscaler/portal/templates/ op de Citrix-omgeving

Heeft u vermoeden dat u slachtoffer bent geworden naar aanleiding van deze kwetsbaarheid of heeft u het vermoeden dat uw organisatie gehackt is? Neem dan contact op met het NFIR Incident Response team (088 – 323 0205)

Nederlandse slachtoffers

Citrix-servers ziekenhuis Leeuwarden doelwit cyberaanval

Het Medisch Centrum Leeuwarden (MCL), één van de grootste ziekenhuizen van Nederland, heeft vanwege een mogelijke cyberaanval op de Citrix-servers al het dataverkeer met de buitenwereld afgesloten. Daardoor kunnen patiënten tijdelijk niet bij hun elektronisch patiëntendossier.

Ook dataverkeer met andere ziekenhuizen wordt gehinderd en medewerkers kunnen geen gebruik maken van hun thuiswerkplek, zo laat MCL in een verklaring op de eigen website weten. "Het MCL heeft vastgesteld dat hackers een poging hebben gedaan in te breken in de digitale systemen van het MCL. Uit voorzorg heeft het MCL daarom alle dataverkeer met de buitenwereld tijdelijk afgesloten", aldus het ziekenhuis.

Het MCL laat verder weten dat het Citrix-servers voor de communicatie met de buitenwereld gebruikt. "Eerder deze week werd bekend dat er een kwetsbaarheid in Citrix was ontdekt. Deze aanval heeft naar verwachting te maken met deze kwetsbaarheid in Citrix", stelt het ziekenhuis. Door het afsluiten van het extern dataverkeer wil het MCL voorkomen dat kwaadwillenden bij bedrijfsgegevens kunnen komen. Tevens zegt het MCL dat het alle maatregelen heeft genomen die Citrix heeft geadviseerd.

Hoelang het dataverkeer zal zijn afgesloten is nog niet bekend. "We weten nog niet hoelang het gaat duren. Dat hangt mede af van de snelheid waarmee Citrix de problemen kan oplossen", voegt het MCL verder toe. De interne communicatie binnen het ziekenhuis en de patiëntenzorg zou geen hinder van de maatregel ondervinden.

Beveiligingsupdate

Citrix heeft aangegeven dat het volgende week met een beveiligingsupdate voor de kwetsbaarheid in de eigen software komt. Tevens zijn er mitigatiemaatregelen die organisaties in afwachting van de update kunnen nemen. 

Citrix-servers gemeente Zutphen doelwit van cyberaanval

Citrix-servers van de gemeente Zutphen zijn het doelwit van een aanval geweest. Aanleiding voor de gemeente om systemen af te sluiten, zo blijkt uit een melding op de website van Zutphen. Volgens de gemeente heeft het maandag een kwetsbaarheid in het netwerk gerepareerd.

Dinsdag bleek dat er een "poging tot inbraak" is geweest op de systemen. Er zijn echter geen aanwijzingen dat de aanvallers ook daadwerkelijk toegang tot systemen van de gemeente hebben gekregen. "Wij hebben geen signaal gekregen dat er daadwerkelijk toegang tot onze systemen is verkregen of gegevens zijn gestolen. Om dit zeker te weten, laten wij onderzoek uitvoeren."

De aanval vond plaats op de Citrix-servers van de gemeente, die medewerkers gebruiken om thuis te werken. Gisteren besloot de gemeente om systemen af te sluiten en "weer schoon te krijgen". Op dit moment wordt onderzocht wat er precies heeft plaatsgevonden en wat daarvan de gevolgen zijn. De gemeente stelt dat het alle maatregelen heeft genomen die Citrix heeft geadviseerd.

Bron: diverse