Citrix en Microsoft: Kwetsbaarheden treffen miljoenen gebruikers

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor grote kwetsbaarheden in Citrix, RD Gateway’s en alle moderne Windows systemen welke actief worden aangevallen. De kwetsbaarheden stellen aanvallers in staat om eigen software uit te voeren op servers waarmee zij zich toegang kunnen verschaffen tot bedrijfsnetwerken. De kwetsbaarheden hebben al geleid tot hackpogingen op Ziekenhuis Leeuwarden en Gemeente Zutphen

Door de Windows kwetsbaarheid kan een aanvaller de kwetsbaarheid misbruiken om bijvoorbeeld een geïnfecteerde executabel op een systeem naar binnen te krijgen. Na een infectie kan een aanvaller een man-in-the-middle-aanval uitvoeren en versleutelde communicatie van het systeem afluisteren. Concreet betekent dit dat een aanvaller kwaadaardige programma’s kan en mag installeren op het (bedrijfs)netwerk en zorgt ermee dat beveiligingssystemen worden ontweken.

Is mijn organisatie vatbaar voor een aanval?

De volgende omgevingen zijn geïdentificeerd als kwetsbaar voor een aanval;

Citrix versies 10.5, 11.1, 12.0, 12.1 en 13.0, kwetsbaarheid:  CVE-2019-19781
•    Citrix (Netscaler) Application Delivery Controller
•    Citrix (Netscaler) Gateway

Microsoft omgevingen voorzien van RD Gateway, kwetsbaarheden: CVE-2020-0609, CVE-2020-0610 en CVE-2020-0612.
•    Windows Server 2012, 2012 R2
•    Windows Server 2016
•    Windows Server 2019


Windows versies, kwetsbaarheid: CVE-2020-0601
•    Windows 10
•    Windows Server 2016
•    Windows Server 2019

Er zijn tools gepubliceerd waarmee lekken in Citrix omgevingen direct en op grote schaal aangevallen kunnen worden. Aanvallers zijn actief opzoek naar kwetsbare servers om deze te infecteren. Over Citrix omgevingen stelt het NCSC; ‘Mocht u op dit moment nog geen mitigerende maatregelen hebben getroffen, dan moet u er rekening mee houden dat uw systeem gecompromitteerd is.’. Op het moment van schrijven zijn deze tools nog niet bekend voor Microsoft omgevingen. 

Hoe kan ik mijn systemen en organisatie beschermen?

Er zijn vanuit Citrix voor 2 van de 7 getroffen omgevingen patches beschikbaar gesteld waarmee kwetsbaarheden worden verholpen. Citrix verwacht op 24 januari 2020 patches voor de overige omgevingen uit te brengen. Citrix adviseert via zijn website mitigerende maatregelen om mogelijk misbruik tegen te gaan en het is aanbevolen om deze direct uit te voeren. 

Microsoft heeft afgelopen dinsdag beveiligingsupdates uitgebracht welke de enige remedie is tegen de aangetroffen kwetsbaarheden. Het is ten zeerste aanbevolen om deze direct te installeren. 

Voor beide omgevingen geldt dat de noodzaak van het aanhouden van de omgevingen overwogen dient te worden. Het open houden van de diensten en het nemen van mitigerende maatregelen dient in alle gevallen gebaseerd dient te zijn op een risicoafweging van de organisatie. In het uiterste geval kan worden besloten om deze, indien mogelijk, uit te schakelen.

(Bron: BDO)