De Citrix vulnerability… wat is er gebeurd en hoe te voorkomen?
Er is al veel gesproken en geschreven over de vulnerability (beveiligingskwetsbaarheid) die de afgelopen tijd is geconstateerd in de technologie van de Citrix Application Delivery Controller en de Netscaler Gateway. Deze producten worden ingezet om medewerkers op afstand te kunnen laten inloggen op de bedrijfssystemen.
Doordat deze vulnerability werd ontdekt konden medewerkers niet meer op afstand inloggen op bedrijfssystemen omdat organisaties ervoor kozen om de omgeving uit te schakelen. Dit om de risico’s ten aanzien van een mogelijke breach te beperken. Op de weg ontstonden zelfs “Citrix files” vanwege het extra woon-werkverkeer. Voor elke cybersecurity fabrikant en leverancier was dit een uitgelezen kans om de wereld nogmaals duidelijk te maken dat een digitale aanval vandaag de dag direct impact kan hebben op ons fysieke leven in de echte wereld.
Maar wat is er eigenlijk echt gebeurd, waarom ontstond deze paniek en belangrijker nog, hoe hadden we dit kunnen voorkomen? De cybersecurity wereld steekt eigenlijk niet heel anders in elkaar dan toen men nog oorlog voerde in loopgraven, op zee met kanonnen, of in de lucht met bommenwerpers… Echter het gevecht vindt nu digitaal plaats, tussen, met name, de “attackers” en de cybersecurity fabrikanten.
Vroeger bedacht men een nieuw wapen, bijvoorbeeld de lange afstandsraket, en als antwoord kwam er een meer geavanceerd luchtafweersysteem dat op basis van technologie de raket zag aankomen, het doel berekende, en vervolgens de raket uitschakelde op neutraal terrein in de lucht.
Maak gebruik van Threat Intelligence teams
Bij deze vulnerability hebben de cyberaanvallers een gedraging tussen de techniek van Citrix en de Apache webservers gevonden welke ze hebben misbruikt om zo zonder gebruikersnaam en wachtwoord toch binnen te komen in bedrijfssystemen. Op deze manier konden ze gevoelige bestanden stelen en ook kwaadaardige software achterlaten in het netwerk. Software, die bijvoorbeeld belangrijke data versleutelt (ransomware).
Voor de gebruiker is dit natuurlijk een serieus probleem want bestanden verliezen of gevoelige informatie lekken kan tot veel gevolgschade leiden voor de organisatie en haar klanten, medewerkers, studenten of (zorg)cliënten. De diverse Threat Intelligence Teams hebben deze breach dan ook hele hoge (het is nog net geen 10, en die zijn ook al eens aan Citrix uitgegeven…) scores gegeven als het gaat om gevoeligheid, risico en gevolgen (kritieke 9,8 CVSS v3.1 basisscore). Alle diepgaande technische details kan je ook vinden via dit artikel van dit artikel van Palo Alto Networks.
De gevolgen zijn bekend: ziekenhuizen, gemeentes en andere organisaties hebben onderzoeken uitgevoerd of er een breach heeft plaatsgevonden en omgevingen werden zo goed en zo snel als mogelijk geüpdatet. De patch met betrekking tot deze vulnerability was pas 20 januari beschikbaar. Mede hierdoor werd er ook besloten om de omgeving uit te schakelen om breaches te voorkomen.
Was misbruik te voorkomen?
De toonaangevende securityfabrikanten hadden (zonder dat veel organisaties dit wisten) al heel snel een bescherming beschikbaar voor deze vulnerability. Ook bij onze klanten hebben wij in o.a. firewalls sporen en logs gevonden van aanvalspogingen. Dit waren slechts pogingen en inmiddels was (om het eerdergenoemde voorbeeld nog eens te hanteren) het luchtafweersysteem geavanceerd genoeg om de raketten van de Citrix aanvallers op neutraal terrein onschadelijk te maken. De enige en allerbelangrijkste voorwaarde was dat alle beveiligingssystemen volledig up-to-date waren en volgens de aanbevolen configuratiestandaard waren ingericht.
Wat houdt dit concreet in? Onze klanten met een Next Generation Firewall van Palo Alto Networks waren automatisch al snel beschermd tegen dit lek. Daarvoor moesten zij “Strict Protection” gebruiken middels het zogenaamde “Threat Prevention” abonnement. De kenmerken heeft Palo Alto Networks opgenomen in de “Threat Prevention Signatures”: 57497 en 57570. Ook zijn er meer dan 20 IP-adressen opgenomen in de “Known Malicious Block” list. De technische details hieromtrent zijn ook te vinden in de eerder genoemde link.
Advies om je beter te beschermen tegen dergelijke cyberaanvallen
Het is goed om te weten dat als je een hoogwaardig security product selecteert om je bedrijf kritische informatie en je ICT-omgeving te beschermen, er een organisatie achter je staat die elke dag bezig is om aanvallers te analyseren. Het is essentieel om in een zo vroeg mogelijk stadium nieuwe aanvalsstrategieën te ontdekken en vervolgens nieuwe verdedigingsmethodieken en -technologie te ontwikkelen, die deze aanvallen blokkeren.
Wij adviseren dan ook om geregeld contact te hebben met je security leverancier. “Gewoon een goede firewall neerzetten” is niet meer voldoende. De veranderingen en ontwikkelingen zijn dagelijks. Dit betekent dus ook dat “de aanbevolen configuratiestandaard” ook regelmatig verandert. Onze security en netwerk specialisten zijn hier zeer goed van op de hoogte. We kunnen en moeten vanuit onze rol als cybersecurity specialist op elk moment hierover advies geven. Wij adviseren onder andere de volgende 4 zaken duidelijk in je organisatie te adresseren:
1. Security best-practice assessment
Voer geregeld een “security best-practice assessment” uit en overleg of er nog kwetsbaarheden zijn in de beveiligingsomgeving en zaken zoals de firewall rulesbase correct is ingesteld en up-to-date is. Dan kun je als de “publieke alarmbellen” afgaan rustiger gaan slapen en met plezier de volgende dag je laptop openslaan en met een veilig gevoel gaan werken.
2. Risicoanalyses
Voer periodiek risicoanalyses uit en maak inzichtelijk wat de gevolgen kunnen zijn van een breach, zodat er een plan gemaakt kan worden voor wat je moet doen als er een breach plaatsvindt.
3. Verwijderen van overbodige data
Kijk kritisch naar de aanwezige informatie in jouw digitale omgeving. Is alle data die beschikbaar is nog nodig? Of is er een heleboel oud, niet meer relevant en dus overbodig. Waarom zouden we die dan nog beschikbaar houden? Alle beveiligingsrisico’s zijn voor overbodige data ook aanwezig. Bij een breach wordt de impact dus onnodig hoog. Onze ervaring leert dat gemiddeld 60 tot 70% van de beschikbare data overbodig is.
4. Cybersecurity strategie
Maak samen met een vakbekwaam persoon een “cybersecurity strategie” die rekening houdt met de roadmap van de business. Realiseer je, dat als je de koers van de organisatie wijzigt, je ook de cybersecurity strategie moet bijsturen.
Ben je nieuwsgierig geworden naar hoe wij deze diensten bij onze klanten invullen of hoe dergelijke assessments in zijn werk gaan? Bel ons dan gerust, zonder enige verplichting want wij delen graag onze kennis en zijn zeer graag voor nog meer bedrijven een meerwaarde in het veilig uitvoeren van de business.