Analyse

Nederlandse bedrijven nog kwetsbaar voor hack

Hackpogingen Zeker 240 Nederlandse bedrijven namen geen maatregelen tegen een al wekenlange bekende kwetsbaarheid in hun systemen.

Het kantoor van Citrix in in Silicon Valley.
Het kantoor van Citrix in in Silicon Valley. Foto Sundry Photography

Het Medisch Centrum Leeuwarden en de gemeente Zutphen zijn de voorbije dagen slachtoffer geworden van een aanval door hackers. Woensdagmiddag waren beide organisaties in de veronderstelling dat er geen belangrijke gegevens zijn buitgemaakt, of bestanden zijn vergrendeld om later losgeld te eisen voor ontsleuteling. Zekerheid daarover konden ze nog niet geven.

Het ziekenhuis en de gemeente waren de voorbije dagen niet de enige organisaties die kwetsbaar waren voor een cyberaanval. Zeker 240 Nederlandse bedrijven hadden woensdagochtend een kwetsbaarheid in software van het Amerikaanse bedrijf Citrix nog onvoldoende gerepareerd, blijkt uit onderzoek van Matthijs Koot. Hij is beveilingsexpert bij cybersecuritybedrijf Secura en gastdocent aan de Universiteit van Amsterdam.

De problemen met Citrix zijn al bekend sinds 17 december. Sinds vorige week scant Koot, nadat meer details van de problemen met Citrix bekend werden, dagelijks het Nederlandse internet af, op zoek naar kwetsbare apparaten. Citrix heeft nog geen definitieve oplossing voor de problemen beschikbaar gemaakt, maar adviseerde gebruikers met klem om onmiddellijk enkele instellingen te wijzigen die het risico op misbruik moeten verkleinen.

Het Nationaal Cyber Security Centrum (NCSC) waarschuwde deze en vorige week ook voor de „ernstige kwetsbaarheid” in de Amerikaanse software, die veel gebruikt wordt om werknemers op afstand via het internet gebruik te laten maken van interne IT-systemen. Desondanks verzuimden honderden Nederlandse bedrijven om in te grijpen. Iets wat Koot een „structureel probleem” noemt en hem enorm frustreert.

Zijn eerste onderzoek, van vorige week donderdag, leverde een lijst op van „honderden” kwetsbare organisaties, groot en klein, waaronder zorgverzekeraars, banken en delen van de Rijksoverheid. Hij deelde de lijst met het NCSC, dat daarna nogmaals alarm sloeg. Koot denkt dat het aantal kwetsbare organisaties in werkelijkheid nog groter is. Het Amerikaanse cybersecuritybedrijf Bad Packets meldde begin deze week dat het nog om minimaal zevenhonderd servers in Nederland zou gaan. Nederland is daarmee het zesde land wereldwijd met de meeste kwetsbare servers.

Lees ook dit stuk over de gevolgen van een aanval met gijzelsoftware. Ineens lag de fabriek plat: ‘Sorry! Uw bestanden zijn versleuteld’

Namen noemt Koot liever niet. Wel bevestigt de onderzoeker dat het Medisch Centrum Leeuwarden (MCL) op de lijst stond. Het ziekenhuis in Friesland staakte uit voorzorg al het dataverkeer met de buitenwereld. Daarmee wil het volgens een woordvoerder „voorkomen dat kwaadwillenden bij bedrijfsgegevens kunnen komen”. MCL heeft naar eigen zeggen de door Citrix voorgestelde maatregelen genomen. „Desondanks heeft deze aanval plaatsgevonden”, schrijft het ziekenhuis in een verklaring. De gemeente Zutphen liet in een verklaring weten de kwetsbaarheid in Citrix afgelopen maandag gerepareerd te hebben. Een dag later ontdekte de gemeente toch „een poging tot inbraak” van kort voor het dichten van het lek. De gemeente denkt niet dat de aanvallers toegang hebben gekregen tot systemen of data, maar doet onderzoek om dat uit te sluiten.

Volgens het MCL zijn de hackers niet ver het netwerk ingekomen. „Ze hebben gerommeld in de buitenste laag van het systeem, de Citrix Netscaler. Er zijn nu nog geen aanwijzingen dat ze verder zijn geweest dan de deurmat, om het zo maar te noemen,” aldus de woordvoerder. Het medisch centrum weet nog niet wanneer het internetverkeer weer hersteld wordt. „Dat hangt mede af van de snelheid waarmee Citrix de problemen kan oplossen”, aldus de woordvoerder. Citrix verwacht de volgende beveilingsupdate op 20 januari te verspreiden.

Naar eigen zeggen heeft Citrix over de hele wereld vierhonderdduizend klanten en wekelijks vijftien miljoen gebruikers. Volgens Bad Packets waren op maandag wereldwijd nog 25.000 systemen kwetsbaar.

Als hackers toegang krijgen tot een Citrix-omgeving heeft dat mogelijk verstrekkende gevolgen, vertelt Koot. Aanvallers kunnen de sessies van legitieme gebruikers kapen of versleutelde wachtwoorden van alle gebruikers downloaden. Inmiddels is ook de sleutel bekend waarmee de Citrix-wachtwoorden vercijferd worden, zegt Koot. „Daarmee kun je ze direct ontsleutelen.” In het ergste geval krijgen de hackers via de Citrix-server toegang tot het hele netwerk. „Dan kun je alles wat intern bereikbaar is aanvallen en wordt bijvoorbeeld gijzelsoftware een optie.” Wel moet de kwetsbare server dan direct gekoppeld zijn aan het internet en het interne netwerk. Normaliter zijn die twee gescheiden door een demilitarized zone, aldus Koot.

Het aantal kwetsbare apparaten in Nederland daalde deze week wel scherp, zegt Koot.

Volgens de onderzoeker heeft niemand volledig zicht op hoe kwetsbaar Nederlandse organisaties zijn voor dit soort problemen. „Het kan niet zo zijn dat dit beeld moet afhangen van vrijwilligers zoals ik”, zegt hij. Daarnaast is het essentieel dat kwetsbare organisaties actie ondernemen. Het NCSC kan ze daartoe niet verplichten en dat is een probleem. Koot: „Elke dag dat je wacht, kunnen criminelen binnenkomen. Ik durf te beweren dat meer Nederlandse bedrijven geïnfecteerd zijn.”