‘Maatregelen die lek in Citrix moeten dichten werken niet altijd’

Het Nationaal Cybersecurity Centrum waarschuwt dat maatregelen tegen een lek in Citrix niet altijd effectief zijn. Organisaties moeten overwegen de software uit te schakelen.
Een kantoor van Citrix in San Fransisco.
Een kantoor van Citrix in San Fransisco. Foto Andrei Stanescu/Getty

Maatregelen die de kans op misbruik van een lek in Citrix hadden moeten verkleinen, werken niet voor alle versies van de Amerikaanse software. Daarvoor waarschuwt het Nationaal Cybersecurity Centrum (NCSC) donderdagavond. Organisaties moeten overwegen om de software, gebruikt om werknemers op afstand met interne it-systemen te laten werken, uit te schakelen, in ieder geval tot Citrix een update heeft verspreid die de problemen definitief verhelpt.

Sinds 17 december is bekend dat software van Citrix een lek bevat dat door hackers gebruikt kan worden om netwerken binnen te dringen. Kwaadwillenden kunnen dan bijvoorbeeld gegevens ontvreemden of gijzelsoftware installeren. Een definitieve oplossing voor het lek is er nog niet. Het NCSC en Citrix adviseerden gebruikers sinds het bekend worden van het lek daarom met klem om „mitigerende maatregelen” te nemen die in de tussentijd de kans op misbruik hadden moeten verkleinen. Maar door een bug werken die in ieder geval niet voor versie 12.1 van de software, bevestigde Citrix donderdag.

Het NCSC en Citrix adviseren organisaties om zo snel mogelijk over te stappen naar een nieuwere versie, waar de maatregelen wel werken. Dan nog bieden de maatregelen „geen garantie op een betrouwbare oplossing”, schrijft het NCSC. „Afhankelijk van de impact, adviseert het NCSC te overwegen de Citrix ADC en Gateway servers uit te zetten.” Kan dat niet, dan adviseert het NCSC om „intensief te monitoren op misbruik”.

Lees ook: Nederlandse bedrijven nog kwetsbaar voor hack

‘Hackpoging’

Woensdag deden de gemeente Zutphen en het Medisch Centrum Leeuwarden (MCL) melding van „een hackpoging” die zeer waarschijnlijk gebruikmaakte van de problemen met Citrix. De organisaties doen nader onderzoek. Het MCL schortte uit voorzorg de digitale communicatie tussen het ziekenhuis en de buitenwereld op. Volgens het Friese ziekenhuis bleek donderdag uit de eerste onderzoeksresultaten dat de impact van de aanval beperkt is gebleven. „Het onderzoek wordt nog verder afgerond. Er is tot nu toe echter geen enkele aanwijzing gevonden dat de aanval is doorgedrongen tot interne systemen van het MCL of patiëntgegevens.” Kamerlid Maarten Hijink (SP) is kritisch en wil van minister Bruno Bruins (Medische Zorg, VVD) weten waarom het ziekenhuis niet eerder maatregelen nam.

Zeker honderd zorginstellingen in Nederland gebruiken producten van Citrix, meldde het Computer Emergency Response Team voor de Zorg (Z-CERT) donderdag. Z-CERT adviseert organisaties die nog geen maatregelen hebben genomen dat „met de grootst mogelijke spoed” wel te doen. Hackers maken momenteel „actief misbruik” van de problemen met Citrix, schrijft het NCSC. „Van kwetsbare systemen is de kans dat deze gecompromitteerd zijn hoog.” Organisaties die tot zaterdag geen maatregelen hebben genomen, moeten ervan uitgaan dat hackers binnengedrongen zijn, waarschuwt Z-CERT.

Woensdag hadden zeker nog 240 Nederlandse Citrix-servers geen maatregelen genomen, meldde cybersecurityonderzoeker Matthijs Koot eerder aan NRC. Citrix verwacht op 20 januari de eerste update klaar te hebben. Voor het einde van de maand wil het bedrijf alle versies van de software bijwerkt hebben. Frank Groenewegen, directeur van beveilingsbedrijf Fox-IT, is kritisch. „Zo’n groot bedrijf, zo’n wezenlijke kwetsbaarheid bij zeer veel belangrijke ondernemingen, en er dan zo lang over doen om met een patch te komen. Dat mag toch niet”, zegt hij tegen persbureau ANP.

Lees ook: Ineens lag de fabriek plat: ‘Sorry! Uw bestanden zijn versleuteld’