Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Citrix: hackers hebben toegang gekregen tot intern netwerk

Citrix heeft bekendgemaakt dat hackers zijn binnengedrongen op interne servers. Dat heeft het bedrijf te horen gekregen van de FBI, waarbij het zou gaan om 'internationale cybercriminelen', maar verder ontbreken de details nog.

Het nieuws is via het blog van Citrix openbaar gemaakt, maar de FBI nam al op woensdag contact op over de hack. Wie er precies achter zitten is dus niet bekendgemaakt, en het is onduidelijk of de Amerikaanse autoriteiten al verdachten op het oog hebben. Degenen die zijn binnengedrongen op de servers van Citrix zouden dat hebben gedaan door middel van password spraying, ofwel het willekeurig uitproberen van zwakke wachtwoorden.

Met die methode zou een intern netwerk zijn binnengedrongen, maar Citrix doet nog onderzoek naar wat er precies is buitgemaakt door de hackers. Mogelijk gaat het om een aantal zakelijke documenten, maar er zijn geen aanwijzingen dat er gegevens uit producten of diensten zijn gestolen.

Zodra er uit het onderzoek meer informatie naar boven komt, belooft Citrix dit met klanten te zullen delen. Voor hen is het dus op dit moment nog onduidelijk wat de impact van de inbraak is.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

10-03-2019 • 09:40

112 Linkedin Google+

Submitter: nickurt

Reacties (112)

Wijzig sortering
“Yoo said his firm, which has been tracking the Iranian-linked group for years, has reason to believe that Iridium broke its way into Citrix's network about 10 years ago, and has been lurking inside the company's system ever since.”

Bron: https://www.nbcnews.com/p...rnment-contractor-n980986
Het gebruiken van andere stukken code impliceert niet direct dat het spaghetti code is..
Dus jij vindt dat mensen die slechte code schrijven inbrekers over de vloer moeten krijgen? Stel je voor ik hoop dat dat bij jouw gebeurd omdat je deze comment schrijft :+
Wij gebruiken ook citrix op het werk. Maar als ik van buiten het bedrijfsnetwerk moet inloggen heb ik een extra code nodig uit zo'n kleine keygenerator in usb stick formaat om in te kunnen loggen.

Als dat systeem veilig is tegen password spraying zouden de hackers dan toch via een bedrijfsnetwerk toegang moeten hebben gekregen.
Volgens Resecurity hebben de hackers een manier om zonder het one time password binnen te komen gevonden.

The arsenal of IRIDIUM includes proprietary techniques allowing to bypass 2FA authorization for critical applications and services for further unauthorized access to VPN (Virtual Private Networks) channels and SSO (Single Sign-On).

https://resecurity.com/bl...of-cyberespionage-groups/
Dat zou goed kunnen. Een mooi voorbeeld is ADFS. Ik zie soms implementaties zonder extranet (soft/smart) lockout en two-factor authenticatie terwijl een Citrix (NS) omgeving wel voorzien is van MFA..

Bedrijven moeten bewustzijn creëren en ervoor zorgen dat externe factoren, zoals API's ook sterk beveiligd moeten worden met bijvoorbeeld MFA. Dit zijn ook vaak open deuren.
Of bij exchange online accounts bij office 365; ook al staat 2fa aan, je kunt default gewoon met basic authentication via imap en smtp proberen in te loggen, daar wordt ook continu met password spray wat geprobeerd als je basic auth niet uit zet..
Op Engadget staat iets meer/aanvullends:
https://www.engadget.com/...an-hackers-target-citrix/

"The intruders may have been lurking for a long time, too. Resecurity's Charles Yoo said that Iridium broke into Citrix's network roughly 10 years ago and had been hiding since then."
Je zou toch denken dat juist iemand als Citrix hun zaken op orde zouden hebben. Er zijn zoveel manieren om het voorkomen van 'wachtwoord-raden trucjes' te voorkomen. Een simpele banner werkt al, maar verder heb je genoeg andere mogelijkheden als keys, 2FA, blacklist/whitelist, etc. En gewoon goede logging en monitoring.

Klinkt heel stom, maar soms denk ik dat die Amerikaanse bedrijven het met opzet doen, al is het ongelooflijk hoeveel bedrijven wereldwijd nog achter de feiten aanlopen. Misschien wordt het tijd dat we bedrijven gaan beboeten die niet kunnen aantonen dat ze iets aan beveiliging doen (impact/schaal meegenomen).

[Reactie gewijzigd door foxgamer2019 op 10 maart 2019 10:55]

Sorry tot break your bubble: security kost geld. Ik ken redelijk wat grote en kleine bedrijven en overal is dit continu een afweging. Dit is niet alleen in de usa zo, maar veel IT komt uit de usa dus is het zichtbaarder. Tel daarbij op dat gebruikers (de directeur voorop) een hekel hebben aan security drempels. 2fa is lastiger dan 1fa dus meestal is het intern 1fa (soms zelfs alleen op de pc van de directeur ;-)
Geen security zou dus nog meer geld moeten kosten. Dat is de enige effectieve manier om commerciële instanties te porren lijkt wel: aan hun centen komen.
Ja, maar zelfs dan.. Geen security (lees: hack) kan geld kosten, maar hoeveel? Meestal is het alleen reputatieschade. Stel de KvK wordt gehacked (niet nodig: die verkopen de info ook gewoon) dan is de reputatie weg, maar het is wettelijk verplicht je daar in te schrijven dus wat doe je? Ergo: security bij de KvK is niet nodig want de wetgever bescherm je.
Ergo: beboeten is zo'n gek plan nog niet. De dreiging van x% jaaromzet moet een hoop instanties ertoe zetten hun beveiliging nog eens goed tegen het licht te houden, exact zoals de AVG dat deed met de verwerking van persoonsgegevens. Dat is blijkbaar best effectief gebleken dus dat moet met andere cruciale zaken zoals digitale beveiliging ook wel lukken.
Ik voorspel een groei van ICT BV's die 'hun' diensten leveren aan de holding maatschappij. BV wordt beboet bij een eventuel beveiligingsprobleem. BV gaat failliet, dus niks te halen. Holding richt gewoon een nieuwe BV op. Helaas is een holding heel moeilijk aansprakelik te stellen, alleen bij b.v. aantoonbaar wanbestuur, maar dat is een heeeeele lange weg.
Je kunt ze alleen beboeten als het ook uitkomt. Aangezien er geen duidelijke richtlijn is wanneer de security voldoende is zou ik niet weten wanneer ik moet stoppen met beveiligen. Wellicht gewoon omdraaien: je mag niets aan het internet hangen tenzij je aannemelijk kunt maken dat voor de werkzaamheden van diegene achter het station dit noodzakelijk is. En nee, facebooken in de baas zijn tijd is geen werkzaamheid die hiervoor in aanmerking komt.
Ok Maar er zijn ook passieve Methoden zoals brute-Force prevention en dat is oog geen magie. Maar goed het is inderdaad zo dat security geld kost en bedrijven geven altijd op rare manieren hun geld uit - miljoenen naar zmicrosoft is geen probleem maar betalen voor een backup tool dienopen sources is? Nah.
Niets mis met intern 1fa gebruiken i.p.v. 2fa. Dat doen we hier ook. Zodra je je op vaste hardware binnen het netwerk bevind, dan vervalt de eis voor 2fa en heb je geen token meer nodig.

Dat maakt het niet onveiliger. De 2FA is alleen op draadloze verbindingen en buiten ons netwerk. Omdat we binnen ons netwerk ook op andere stukjes security leunen.
ooit gehoord van pash the hash?
Nee, maar ik ken het concept.

Hiervoor moet je je bij ons echt binnen het netwerk bevinden. Hetzij in "de (i)Cloud" of via VPN, of echt binnen het netwerk. Maar dan is de hacker al binnen en de schade al gedaan.

Als je je fysiek buiten het netwerk bevind, kom je nergens binnen zonder 2FA token. Als je je fysiek binnen het netwerk bevind. (WiFi beschouwen we als 'buiten') Dan spelen een boel andere security methodes een rol.

Dan moet je niet alleen een gebruikersnaam + wachtwoord hebben, ook een toegangs pas, kennis van onze locaties (je kan bijna nergens ongezien als onbekende achter een systeem kruipen om in te loggen), kennis van ons personeel en nog meer.

Maar als iemand de lokale beveiliging en/of 2FA al weet te omzeilen, dan helpt bijna geen enkele vorm van kreupelende veiligheid meer. En als iemand dan binnen is, is alles ook nog eens gecompartimenteerd. Dus zie de data maar te vinden waar je naar op zoek bent.

Nu werk ik wel voor een nogal high profile target met bizar veel mogelijke veiligheidsproblemen. En is zo'n gerichte aanval die nodig is om binnen te komen, absoluut niet ondenkbaar. Sterker nog, we gaan er vanuit dat het gebeurt. Maar daarom zijn we met Informatie Beveiliging uiterst pro-actief en trainen we al het personeel hier in.

Het grootste veiligheidsrisico is nog altijd de mens zelf. En ik vermoed dat men de moeite niet gaat nemen onze beveiliging te omzeilen, maar dat ze gewoon een medewerker thuis opzoeken en onder dreiging van een vuurwapen lekker remote laten inloggen.

Naja, dan helpt niets meer.

Te pas en te onpas overal maar alle mogelijke security toepassen die je kan vinden, werkt averechts. Gemak en security gaan gewoon totaal niet hand in hand. Bijvoorbeeld: Als we binnen het netwerk 2FA gaan eisen, gaan mensen hun systemen niet meer locken of afmelden, wat een veel groter probleem is.

[Reactie gewijzigd door batjes op 11 maart 2019 18:04]

ben je niet bezorgd om gebruikers die zichzelf (ongemerkt) admin rechten verschaffen? want zonder 2FA is dat een fluitje van een cent. zelfs credential guard biedt geen soelaas. ik zie heel vaak dat veel bedrijven een vals veilligheids gevoel hebben.
Citrix is niet één bedrijf met één enkele vestiging, maar een amalgaam van tientallen overgenomen technologiebedrijven, van groot tot heel klein, inclusief startups. Het lijkt mij niet ondenkbaar dat de aanvallers ooit via één zo'n partij is binnengekomen. Speculatie natuurlijk, maar wel om aan te geven dat zo'n moloch niet zo eenvoudig is te verdedigen tegen indringers. En dat geldt voor alle grote technologiebedrijven.
Dat klopt helemaal. Je hoeft niet eens een hacker te zijn om bij zo'n bedrijf binnen te komen.Als je het voor elkaar krijgt om een SSH deamon te dumpen en deze intern te laten draaien ben je al binnen.
Security kost veel geld en leidt tot een boel extra bureaucratie. Zaken waar bedrijven niet blij van worden. En management is bij een commercieel bedrijf vaak maar met 1 ding bezig: Hoe kunnen we dingen efficienter, sneller en goedkoper doen?
password spray's zijn heel lastig te detecteren, zijn dus niet hetzelfde als bruteforce waar je veel passwords op 1 account probeert. Spray's doen juist het omgekeerde. Veel gebruikt password pakken en dan alle accounts langs om te kijken of er een match is. Bij juiste uitvoering heel lastig te detecteren. MFA is zeker een goede mitigatie maar dan moet je wel legacy protocollen blocken. (IMAP, SMTP doen geen MFA :))
Hoe vaak kom je bij organisaties admin of admin achtige accounts tegen waarvan je niet weet waarvoor ze zijn of wie ze gebruikt? Laat staan dat dit ergens centraal gedocumenteerd is. Hoe vaak worden de ww van admin accounts gewijzigd? Wordt dat gecontroleerd? Het verbaasd me geheel niet dat dit soort zaken gebeuren, zeker niet bij grotere tech companies...

Zoals andere al zeggen, security kost geld, hoeft niet eens licentie gelden te zijn voor security software, maar puur de investering van tijd om regels op te stellen, deze toe te passen en te blijven controleren met de benodigde discipline. tijd = geld
Volgens mij weet jij niet hoeveel politiek er zich afspeelt met dit soort dingen.

Nu de GPDR er is, wordt er eindelijk strenger gekeken naar veiligheid. Omdat het bedrijf als er data buit gemaakt wordt of ingebroken de bedrijf schuldig is ..

Ik heb bij een bank in Luxemburg gewerkt. Man als je ziet hoe belangrijk beveiliging is. Maar de medewerkers er een hekel aan hebben. En als ze thuiswerken en bijvoorbeeld bhet wachtwoord vergeten of verkeerd ingetypt hebben. Dat de security 1 uur de tijd nodig hebt om het vervolgens vrij te maken weer. Dit soort dingen maakt de medewerker alleen maar meer blboos etc

[Reactie gewijzigd door theduke1989 op 10 maart 2019 17:53]

De vraag is nu eerder, waarom gebruikt citrix zijn eigen certificatie methode NIET op het interne netwerk.?.
Je weet als bedrijf dat je een extreem high-value target bent en dan wordt je zo gep0wn3d. En als het waar is zaten ze al 10 jaar binnen. :| Waar ligt je prioriteit?

Bij hoeveel andere grote bedrijven zullen ze binnen zitten? En In Nederland?
Als je eenmaal binnen bent geraakt zonder opgemerkt te worden en je begaat dan geenz ware fouten kan je simpelweg jaren onopgemerkt blijven, maar ondertussen wel blijven meekijken. Zeker als je er in slaagt een eigen account aan te maken. Ga als groot bedrijf maar eens al je accounts oplijsten en kijken of er 1 tussenzit die er niet hoord te zijn. Bijna een onmogelijke taak.
Dat kan zeker, maar bij bedrijven die hun beveiliging ernstig nemen, is dat toch lastig.
Het aanmaken van een account en het aanmelden op systemen kan prima geaudit worden en vergeleken met change requests en asset mgmt. Idem voor bestandsoperaties, configuraties, draaiende processen,...

In bedrijven waar beveiliging écht belangrijk is, neemt men die moeite! (Uit eigen ervaring: overheden, financiële instellingen, delen van industriële bedrijven,...)

Overigens is een account aanmaken heel handig, maar niet de meest onopvallende manier. Dat is gebruik maken van bestaande accounts en van software die in profielen van reguliere gebruikers en admins geïnjecteerd wordt.

Een probleem waar veel bedrijven mee kampen is dat ze zelf geen overzicht hebben van "intended behavior", en dan is intrusie detectie inderdaad moeilijk. Die bedrijven nemen IT security maar serieus tot hun perimeter :/
Het probleem gaat verder dan beveiligen. Veel van de software dat bedrijven ( en ja, zelf wij als klanten ) gebruiken is te ingewikkeld. Het gevolg is dat het makkelijk is om inbreek punten te vinden ( multi vectors of attack ). Eenmaal binnen zal zelf voor getrained IT secutiry, het altijd een rot zoektocht zijn.

Veel van de inbraken vallen gewoon om omdat er iets "vreemds" gebeurde en men onderzoekt die melding. Actieve beveilingsoftware over het algemeen pakt maar weinig inbrekers.

Een bedrijfje waar ik voor werkte hadden een hoop wordpress websites. Simpel ... totaal niet zo complex als vele bedrijfsnetwerken. Iemand had zich een weg naar binnen gevonden via een exploit. En daar zaten we dan dagen alle data na te checken, de bestanden, de databank en op het einde was het signaal gegeven dat we "denken" alles opgekuist te hebben. Maar in je maag zit je altijd met het gevoel, is het echt wel opgekuist. Zit er mogelijk een injection script ergens verborgen in de databank, ... En dat was een simpel WP website.

Laat staan bij een bedrijf dat een series van verschillende servers draait met active directory, rechten dat mogelijk aangepast waren, verborgen injection script, aangepaste dlls, nieuw accounts, ... Het kan overal en nergens zitten.

En het ergste is, dat het eigenlijk niet uitmaakt hoeveel je beveiligt. Als er iemand je echt wilt targeten en zoekt op manieren om binnen te graken, er is altijd wel een zero day exploits in software te vinden, laat staan dat men via omwegen ( besmetten van laptops, usb sticks, smartphones ).

Als ik gewoon zie hoeveel processes draaien op Windows, hoe ingewikkeld de software interactie is, hoe als ITers dat nu al 30 jaar meedraait nog altijd verbaast ben dat ik X of Y niet ken, of een Windows update weeral iets veranderd. En Linux heeft hetzelfde probleem...

De enige veilige oplossing om schade te beperken is letterlijk het isoleren van iedere werk pc maar dan komt je weeral op het onwerkbare want marketing heeft toegang tot X nodig, sales tot Y, X en ... dan komt de druk van bovenaf want men wilt geen productiviteit verliezen he.

Hell, ik ben al lang voorstander dat we eindelijk eens moeten gaan naar een OS waarbij ieder programma in een geisoleerde sandbox draait. Maar het probleem dat je dan hebt, is zoals met de smartphones. Ieder programma zal dat beginnen te zagen voor zotte rechten, bijvoorbeeld dat het toegang tot je camera wilt voor een spreadsheet en als je weigert dat de boel niet start. En voor je het weet zijn mensen gewoon om altijd Ja te drukken.
Dat is dan ook waarom een gezond securitybeleid werkt op zoveel lagen en risicoanalyse en mitigatie zo belangrijk is. Ik kan voor de voorbeelden die je aanhaalt sowieso al een aantal fouten opsommen, waaronder "revert to safe", monitoring van executables en system folders, maar daar gaat het niet echt om.

Feit is dat een securitybeleid afgestemd is op de omgeving en een kmo/mkb niet de middelen heeft voor, noch de noodzaak ziet van een doorgedreven beleid waarin bijvoorbeeld aan loganalyse gedaan wordt. Intrusiedetectie is immers veel meer dan een stuk software.

Het is onzin te beweren dat het niet mogelijk is intrusie te detecteren en mitigeren of je te wapenen tegen targeted attacks. Dat vereist wel een hoop preventief onderhoud (patching), regels, rechten, configuratie, auditing, monitoring, change management, logaggregatie, ..., kortom een hele hoop werk en de juiste mensen om dat werk te doen.
En isoleren is inderdaad een keyword. Een goede folderstructuur met de juiste rechten en gebruikersgroepen met de juiste toegang is inderdaad een absolute vereiste, wat mij betreft in élke omgeving (en echt niet zoveel werk...).
Er zijn niet echt heilige gralen uiteraard, maar er is een aantal maatregelen die weinig moeite kosten om te implementeren en je als verdediger een goede basis geeft. Op elke laag van het OSI model zijn wel een aantal van dit soort quick-wins. Voorwaarde is dat je heel goed inzicht hebt in hoe je netwerk in elkaar zit en welke devices er allemaal op rondzwerven. Een goede statelijke actor in je netwerk kent dat netwerk beter dan de admins.

Werkstations van elkaar isoleren op Layer 2 niveau bijvoorbeeld, want het aantal scenario's waarin het werkstations met elkaar moeten praten is minimaal en waarschijnlijk niet aanwezig. Een gebruiker merkt er niets van, maar je forceert een aanvaller die door het netwerk heen wil bewegen om een bepaalde route te nemen.

Op die route zet je een op strategische plaatsen een out-of-band IDS of een in-line IPS neer met up-to-date signatures en liefst ook nog signatures die aangepast zijn aan je eigen omgeving. Wat een aanvaller niet ziet, kan ie ook niet omzeilen en vergroot de kans op detectie. Een basic SecurityOnion installatie heb je zo voor elkaar en dat is al een stuk beter dan niets.

Iets anders dat goed werkt om aanvallers te onderkennen, is het gebruik van darknet routers. Daarbij routeer je al je RFC1918 verkeer dat gaat naar netwerken die niet in je lokale omgeving gaan naar een "stofzuiger" waar je dat verkeer opslaat en alerts genereert. Heel handig om een aanvaller te pakken als die jouw netwerk aan het verkennen is.

Dit soort maatregelen kun je nemen met 0 impact voor de gebruiker en vergroten je kansen op detectie aanzienlijk. Maar als een aanvaller vanaf het moment van infectie tot en met data-exfiltratie maar 20 minuutjes nodig heeft, dan ben je hoe dan ook te laat.
Hell, ik ben al lang voorstander dat we eindelijk eens moeten gaan naar een OS waarbij ieder programma in een geisoleerde sandbox draait.
Microsoft heeft een jaar of 10 geleden hier toen een nieuw OS voor gebouwd, Singularity.

Elke applicatie draaide in zijn eigen sandbox.

Deze features van Singularity zijn ondertussen in Windows ingebouwd. UWP applicaties draaien ook in hun eigen sandbox.
Account names list vergelijken met personeelsdatabase van human resource dept.
Maar wat dan met al die technische accounts? SQL Servers, middleware, ESBs etc. etc. HR heeft tunnelvisie op Human Resources, niet op technical resources.
Maar wat dan met al die technische accounts? SQL Servers, middleware, ESBs etc. etc.
Dat zijn de gevaarlijkste accounts net als admin, root en sudo gebruik. Streng ICT beleid met toezicht van de security officer!
Ja, en een change paswoord policy op de databases is er vrijwel nooit iemand je dan alle middleware om moet zetten. Ergo, het blijft een zooitje.
Ja, dat moet zo dus niet hè.
Die andere adressen komen dan vanzelf opduiken in de lijst van email accounts waar alle medewerkersnamen uit zijn weggefilterd. Zit daar iets tussen wat lijkt op de naam van een persoon dan is dat een red flag en moet sowieso onderzocht worden.
Een crosscheck met HRM maakt vaak al veel duidelijk.
Wat nog beter is:
HRM geeft en bepaalt de rechten rechten buiten de ICT afdeling om.
Dit werkt ook goed met toegangpasjes en mobieltjes, dus waarom zitten die ingehuurde ICT mensen er nog steeds tussen met hun veel te complexe rechten systemen.
Been there, done that: tijdelijk inhuur. Kracht gaat weg, HR geeft het door. Maaaaar de inhuur wordt met 3 maanden terugverwacht dus laat de accounts nog maar even zitten: is zo'n gedoe om weer aan te maken.
Been there, done that: tijdelijk inhuur. Kracht gaat weg, HR geeft het door.
Inderdaad, nagel op zijn kop. HR geeft het door maar ICT heeft zijn eigen foute visie.
Door het veel te complexe rechten systeem van de meeste ICT organisaties is delete, block en enable van accounts een chaos.
In AD een subgroepje aanmaken voor een innovatief R&D of Marketing project is teveel werk of past niet in de iso9001 bewaakte procedure, dus worden er file rechten ingesteld voor en door een paar personen.
Dit vraagt om een strenge security officer en een iso9001 bewaking die niet het bedrijf verlamd.

[Reactie gewijzigd door pe0mot op 11 maart 2019 09:42]

Piep systeem: alle accounts uitzetten en met legitimatie fysiek melden bij de helpdesk. Is simpel maar lastig en ik ken geen groot bedrijf wat dat zou durven.
Tuurlijk, ga dat maar eens uitvoeren in een ziekenhuis :X
Wat ik ook schrijf: ik ken geen groot bedrijf wat dat zou doen.
Omdat je daarmee een bedrijf plat legt. Ik ken genoeg bedrijven die als ze 1 of misschien een paar dagen zo gaan werken, dit waarschijnlijk niet overleven.
Yup, kun je beter voor toegang door derden gaan. Hell Equifax heeft het gewoon overleeft met hackers maar zou waarschijnlijk moeten sluiten als ze wel veilig zouden werken.
Als je voor gemak kiest door "single sign-on"in te schakelen...? Gebruikers binnen onze organisatie zitten daar ook constant om te zeuren omdat ze balen van het twee (!) keer naam en wachtwoord intypen om een Citrix-sessie op te starten. En als het bestuur of RvT zich ook in die discussie gaat mengen moet je als ICT-afdeling héél stevig in je schoenen staan om niet toe te geven aan die druk...
Single sign on met 2fa kan toch prima. :) Ze hoeven maar 1 ding te onthouden en een app doet de rest.
Tuurlijk en zo doen heel veel bedrijven het ook. Maar wat als de dienst waarvan je dan afhankelijk bent gehackt wordt? Dan heb je potentieel een groter probleem. Ik moet bij dit soort dingen altijd denken aan AviD's rule of usability: Security at the expense of usability comes at the expense of security.
Tot dusver heeft dit nog niets te maken met de Citrix producten die het bedrijf produceert. Er is toegang verkregen tot het bedrijfsnetwerk en zelfs wanneer de broncode al die tijd toegankelijk is geweest hoeft het product nog niet meteen in twijfel te worden getrokken. Dat het bedrijfsnetwerk toegankelijk was via een zwak wachtwoord is een gebruikersfout. De imagoschade van het bedrijf zal het grootst zijn.
Aangezien men niet weet wat er precies is gebeurd, moet men alles als gecompromitteerd beschouwen. Dezelfde werkwijze die men moet hanteren als het "eigen" netwerk geowned wordt.
Ik verwacht dat het best lastig is voor Citrix aangezien ze de informatie van 3-en hebben moeten krijgen. Mochten ze een SOC hebben (wat ik niet verwacht).... :z , of die hackerts zijn echt voorzichtig geweest.
citrix gebruikte geen citrix?
zelfs wanneer de broncode al die tijd toegankelijk is geweest hoeft het product nog niet meteen in twijfel te worden getrokken.
Geintje zeker?

Mocht dat het geval zijn, dan hebben hackers niet alleen 10 jaar de tijd gehad om de broncode uitgebreid te bestuderen; maar ook - en dat is mogelijk nog veel kwalijker - de mogelijkheid gehad om mee te lezen met interne bugfixes voor nog niet gepubliceerde CVEs; waarmee na een gedetailleerde melding ze met minimale ontwikkeltijd een zero-day kunnen fabriceren met een riant tijdsvenster om deze in te kunnen zetten of door te kunnen verkopen.

[Reactie gewijzigd door R4gnax op 11 maart 2019 20:40]

2011 RSA security, 2015 US Office of Personnel Management, 2017 Equifax en nu Citrix.

Lijstje maakt wel duidelijk dat zodra je data via internet toegankelijk is je vastbesloten hackers erg erg moeilijk buiten de deur houdt.
Heeft Citrix niet toegang tot alle Microsoft broncode? Betekent dit dat men de broncode van Bitlocker kan analyseren? Komt er snel een patch uit voor de vrijgekomen vulnerabilities voor Bitlocker?
Dat het netwerk van het bedrijf is gehackt wil natuurlijk nog niets zeggen over de security van het product wat ze leveren. Als je niet precies weet op welke wijze en op welk systeem en tot welke data er toegang is verkregen heeft het weinig zin om meteen de conclusie te trekken dat de producten niet deugen.
Met oog op het formule 1 seizoen wat gaat beginnen, ook hier gebruiken de nodige teams naar wat ik weet Citrix.
En daar in die wereld is kennis vooral ook macht en veel geld waard.
Iemand inside kennis over waar dit naar toe gaat en wat er momenteel speelt?
Met oog op het formule 1 seizoen wat gaat beginnen, ook hier gebruiken de nodige teams naar wat ik weet Citrix.
En daar in die wereld is kennis vooral ook macht en veel geld waard.
Iemand inside kennis over waar dit naar toe gaat en wat er momenteel speelt?
Ik zou me meer druk maken over het feit dat zaken als nationale politie-machten; legermachten; de gezondheidszorg; en algemeen nutsbedrijven zoals water- en stroom-voorziening (incl. wellicht atoomcentrales) van Citrix gebruiken, dan me druk te maken om een machtsspelletje binnen de Formule 1.

(Iets over prioriteiten...)

[Reactie gewijzigd door R4gnax op 11 maart 2019 20:45]

Ik zeg ook niet dat dit het ergste of het belangrijkste is, ik zeg alleen dat ik mij nu afvraag hoe het er in deze sector aan toe gaat. Waterschap heeft wel blood gestaan aan meer risico's de afgelopen jaren die geen schade hebben berokkend, de banken maak ik mij ook nog niet zo heel erg druk om, weet iets van hoe eea daar werkt vanuit mijn werkhistorie, kerncentrales hebben voor zover ik het weet de belangrijke zaken intern nog steeds niet op het internet zitten, dus daar maak ik mij ook nog niet zo druk om.
Ziekenhuizen ed, terecht dat je die opmerking maakt, dat zal hier en daar nog wel een staartje kunnen krijgen, zo zijn er wel meerdere sectoren die hier last van gaan krijgen.

Bij de F1 zit je in de commerciële sfeer waarbij wereldwijd remote werken erg belangrijk is en de informatie veel geld waard is.
Voor een paar maand geleden een mooie seminar bijgewoond waar ongetwijfeld meerdere tweakers wel bij zijn geweest van de IT Security man van Red Bull.
Daar werd netjes uitgelegd hoe hun remote werken gebruiken.
Vandaar mijn gedachte aan de F1, los van dat ik het security aspect en het samenwerken in teams in deze sport erg bijzonder vind.

Zodat je weet wat er in mij omgaat en hoe ik mijn prioriteiten stel. 😉
Misschien handig om ook ff uit te leggen wat Citrix is..
citrix regelt voor veel bedrijven de netwerkinfrastructuur voor vpn en remote desktop omgevingen. eigenlijk alles wat je nodig hebt voor een goed beschermde werkomgeving voor je werknemers. in de zorg word het bijvoorbeeld veel gebruikt vanwege de hoge beveiligingseisen maar ook bij banken.

[Reactie gewijzigd door t link op 10 maart 2019 11:43]

Zover ik weet wordt Citrix niet gekozen omwille van de verhoogde beveiligingseisen, maar juist omwille van het gebruiksgemak en de functionaliteit. Alternatieven waren op dat vlak zeer lang ondergeschikt (ik denk bijvoorbeeld aan MS Terminal Server).
ik bedoel ook niet dat citrix veiliger is dan concurenten, meer dat het gewoon een goede beveiliging bied en je het daarom in die omgevingen veel ziet. zodat mensen hier een beetje snapen wat de doelgroep van citrix is en waarom het nieuws is.
eigenlijk alles wat je nodig hebt voor een goed beschermde werkomgeving voor je werknemers.
Dat zou ik nu dus niet meer hardop zeggen... :)
Citrix is in eerste plaats een bedrijf. Ze maken software voor terminalservers die relatief veel gebruikt is in de enterprise wereld.
Citrix software staat bij mij bekend om nukkigheid en onverwacht gedrag. Het is heel nuttig een "specialist" te hebben met ervaring. Nog volgens mijn ervaring draaien er bij tal van bedrijven oude versies. Gecombineerd met de hele lijst CVE's betekent dat dat Citrix een gekende attack vector is.

Dit Citrixnieuwtje baart dus zorgen.
Een hele lijst met CVE's? Overdrijven is ook een vak. Welke CVE's zijn relevant voor de huidige productlinie welke nog niet gepatched zijn? Nukkig is Citrix evenmin echter is het geen software die je door een leek even laat installeren en waar je vervolgens geen omkijken meer naar hebt.

Uiteindelijk zegt dit nieuwsitem vrij weinig gezien er geen details vrijgegeven worden.
CVE's zijn sowieso meestal gepatchte kwetsbaarheden. Het is dan ook onjuist te interpreteren dat software met veel CVE's onveilig zou zijn: het kan evengoed zijn dat software zo rigoreus getest en gepatched wordt dat er heel veel CVE's zijn met vaak kleine impact.
Het zegt sowieso wel iets over hoe dom het is om niet te patchen.

Daarnaast kan ik alleen maar spreken uit mijn ervaring, waar citrixsoftware vaak op oude versies draaide en de nodige expertise voor een goede implementatie en onderhoud waarschijnlijk ontbrak.
Ik heb meer dan eens een consultant met specifieke ervaring aangeraden om issues op te lossen die het lokale supportteam niet kon oplossen en voor mij duidelijk citrix-gerelateerd was (omdat als extern consultant voor mij citrix out of scope was).
Nuja, Citrix is marktleider (zover ik weet) voor remote desktop of thin client oplossingen en dat komt zeker niet omdat het allemaal kommer en kwel is.
Misschien handig om ook ff uit te leggen wat Citrix is..
Google is your friend.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Nederland

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True