Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution

Er zijn in Nederland zeker 713 Citrix-servers actief die last hebben van een bekende kwetsbaarheid. Volgens beveiligingsonderzoekers worden die servers op het moment actief aangevallen. Door de kwetsbaarheid kan code op een server worden uitgevoerd.

Dat blijkt uit honeypot-data van beveiligingsbedrijf Bad Packets. Onderzoekers scanden internet op Citrix Gateway- en Citrix Application Delivery Controller-servers. Daarvan is bekend dat ze een mogelijke kwetsbaarheid bevatten. CVE-2019-19781 is een kwetsbaarheid waarmee een aanvaller een remote code execution kan uitvoeren op een systeem. Die zwakte is sinds 17 december vorig jaar bekend. Er is op dit moment nog geen patch beschikbaar. De eerste daarvan volgt volgens Citrix naar verwachting rond 20 januari, met een uitloop naar 31 januari. Wel is er mitigatie mogelijk, zegt Citrix.

De onderzoekers van Bad Packets scanden in totaal meer dan 60.000 Citrix-servers. Daarvan waren er 25.121 kwetsbaar, met ssl-certicaten van 18.155 unieke domeinnamen. Het gaat om kwetsbare hostmachines in 122 landen. In Amerika staan bijna 10.000 kwetsbare servers. Nederland staat naast de VS, Duitsland, het VK, Zwitserland en Australië op de zesde plaats in de lijst met landen waar de meeste servers stonden. In totaal gaat het hier om 713 stuks. De organisatie zegt dat het een honeypot heeft opgezet waarop het nu voor het eerst activiteit ziet. Aanvallers scanden sinds vorige week zelf internet al voor servers waar het bestand smb.conf op stond, een aanwijzing dat de betreffende server kwetsbaar was. Sinds zondag proberen aanvallers ook daadwerkelijk de systemen te infecteren.

Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen. "Vooralsnog is er geen actieve exploit waargenomen, maar deze worden wel verwacht", schreef het NCSC toen.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2020 • 12:46

58 Linkedin Google+

Reacties (58)

Wijzig sortering
Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen.
Ga je dan op hun website kijken staat er:
Citrix adviseert om direct de update te installeren zodra deze beschikbaar is.
Er valt dus nog niets te patchen.. Ook Citrix:
Customers should then upgrade all of their vulnerable appliances to a fixed version of the appliance firmware when released.
Trouwens voor België zijn er 402 kwetsbare hosts gevonden.
Er valt dus nog niets te patchen.. Ook Citrix:
Dat heb je soms, dit is een goed moment om nog eens na te denken over de beveiliging van je omgeving. Goede verdediging bestaat uit lagen, zodat een gat in de ene laag wordt opgevangen door de volgende.

Helaas wordt er nogal eens gekozen om alle beveiliging toe te vertrouwen aan één magisch product. Als daar dan iets mis mee gaat dan heb je een groot probleem.
Helaas wordt er nogal eens gekozen om alle beveiliging toe te vertrouwen aan één magisch product. Als daar dan iets mis mee gaat dan heb je een groot probleem.
Hoewel je hier absoluut een erg goed punt maakt, zie ik ook het tegenovergestelde gebeuren bij bedrijven.

Dus de beveiliging toevertrouwen aan te veel producten (de Citrix ADC op Hypervisor A, achter een F5 op hypervisor B, die weer achter een Bluecoat hangt en ga zo maar door).
Er bestaat niet zoiets als één magisch product voor je security. Dus alles van 1 product aflaten hangen is dom. Andersom, alle producten wantrouwen en daardoor de zoveel lagen aanbrengen dat het overzicht verloren raakt en het achterhalen van een issue meer tijd en geld kost dan het oplossen van een enkel problem is ook niet goed.
Hoewel je hier absoluut een erg goed punt maakt, zie ik ook het tegenovergestelde gebeuren bij bedrijven.

Dus de beveiliging toevertrouwen aan te veel producten (de Citrix ADC op Hypervisor A, achter een F5 op hypervisor B, die weer achter een Bluecoat hangt en ga zo maar door).
Dat is inderdaad ook niet goed. Ik zie dit vooral gebeuren bij gebrek aan goed personeel. Er is nogal eens een neiging om een of andere dure magische doos te kopen in de veronderstelling dat die alle problemen oplost. Ze vergeten dan dat je een expert nodig hebt om gebruik te maken van dat gespecialiseerde gereedschap. Zo'n doos blijft dan in de default configuratie staan, wordt zelden onderhouden en doet eigenlijk niet meer dan droevige waarschuwingsmails versturen. Vroeg of laat zit zo'n doos in de weg en dan gaat er iemand net zo lang op de knopjes drukken tot het probleem verdwijnt. Of er dan nog veiligheid over is blijft de vraag.
Andersom, alle producten wantrouwen en daardoor de zoveel lagen aanbrengen dat het overzicht verloren raakt en het achterhalen van een issue meer tijd en geld kost dan het oplossen van een enkel problem is ook niet goed.
Het is koorddansen. Eigenlijk zou ik liever werken vanuit de veronderstelling dat geen enkel product te vertrouwen is, maar, zoals je zegt, dat wordt al snel onoverzichtelijk en onbeheerbaar. Eigenlijk is het weer het probleem waar ik mee begon; het is onbetaalbaar om het echt goed te doen.
En dat is dan ook de pitfall.

Hedendaags is het dan ook reasonable security practise je doet wat je kan en dat zo goed mogelijk met de middelen en geld die dat rechtvaardigen.

Je kunt van de bakker op de hoek niet verwachten 100k security te doen waar dat voor een bank niks is.

Cloud lost wel een heel groot gedeelte op maar men moet niet de laatste stukjes vergeten
Cloud lost wel een heel groot gedeelte op maar men moet niet de laatste stukjes vergeten
En ook daar zit voor velen een denk-fout dat de Cloud een magisch product is.
Eens, Security is koorddansen en vaak zonder net.
Als ik niet technische mensen probeer uit te leggen hoe security werkt, kom ik toch wel altijd uit op een ui.

Meerdere lagen, publieke data wordt door laag 1 beschermd (ofwel geen login, maar wel integriteits checks en read-only op publieke sites).
Generieke bedrijfsdata wordt afgeschermd door een username/password en bij voorkeur MFA en kan via internet benaderd worden.
Gevoelige bedrijfsdata is dan weer niet direct vanaf het internet te benaderen (dus extra VPN laag).
Kritieke bedrijfsdata is alleen te benaderen vanaf een werkplek op kantoor, welke bij voorkeur geen directe verbinding met internet heeft, maar voor MKB is dat laatste vaak weer lastiger.

Uiteraard werk je dan ook met Role-Based-Access en Dynamic Access Control, zodat je zeker bent dat vertrouwelijke documenten (zelfs als die op een share staan waar alle medewerkers toegang tot hebben) alleen door mensen geopend kunnen worden die vertrouwelijke documenten mogen bekijken/bewerken.

Edit: linkje naar DAC toegevoegd

[Reactie gewijzigd door walteij op 13 januari 2020 14:42]

Er valt inderdaad geen patch te installeren nog, maar het gaat hier om verzoeken welke je wel kunt filteren voordat deze in het systeem terecht komen, dat is ook wat Citrix aanraad om te doen. Zie deze url daarvoor:
https://support.citrix.com/article/CTX267679

[Reactie gewijzigd door mrdemc op 13 januari 2020 13:06]

Dat deze link naar de mitigatie niet in het artikel is opgenomen vind ik wat apart. Deze kwetsbaarheid is al geruime tijd bekend, en deze oplossing is in het vorige nieuwsbericht over deze kwetsbaarheid ook al genoemd. Als je beheerder bent van een dergelijk systeem dien je deze allang op je netvlies te hebben en geïmplementeerd. Het is nou ook niet echt een hele lastige aanpassing. De patch zal lastiger implementeren zijn, als in goed testen etc.

[Reactie gewijzigd door PTR op 13 januari 2020 15:18]

Je kunt natuurlijk wel zorgen dat het OS helemaal gepatched is, en je achterliggende servers etc.
Met patchen bedoellen ze backend landscape.

Anders kun je via de citrix remote code execution doen tegen een unpatched backend server in server bb.
Er is een mitigatie die je uit kunt voeren. De patch komt inderdaad later. Pas eind Januari.

Enneh 712 nu, net weer eentje 'gepatched' :P
Gelukkig gaat dit niet over de uitstoot van onze Citrix bakken maar over een aanpassing die je kan doen om het probleem/lek etc. te verminderen.

In dit specifieke geval gaat het om een stukje code die je kan aftrappen op de desbetreffende Citrix bakken.

Voorbeeld:

enable ns feature responder
add responder action respondwith403 respondwith "\"HTTP/1.1 403 Forbidden\r\n\r\n\""
add responder policy ctx267027 "HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/vpns/\") && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\"/../\"))" respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config

shell nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0
shell "echo 'nsapimgr_wr.sh -ys skip_systemaccess_policyeval=0' >> /nsconfig/rc.netscaler"
reboot


Zie ook: https://support.citrix.com/article/CTX267679
Mitigatie wil gewoon zeggen dat je maatregelen kunt nemen om te voorkomen dat dit lek misbruikt wordt. Heel vaak houdt dit wel in dat je tidelijk bepaalde functionaliteit uitschakeld totdat het probleem definitief is opgelost.
Dat het lek niet of minder erg kan worden gebruikt. (mitigate = omzeilen)
Een link naar de info van citrix : https://support.citrix.com/article/CTX267679
Weet iemand ook of het van toepassing is als je al 2FA (dmv SMS) op je netscaler hebt zitten, dat kan ik ergens terugvinden in de documentatie van deze exploit.
Dan ben je nog steeds vatbaar.
Dus je moet sowieso niet het bestand smb.conf in je server-tree hebben staan, dus niet je etc-directory als publicatiemateriaal beschouwen? Lijkt me geen probleem...
Het betreft geen servers maar network appliances (NetScaler/Citrix ADC). Deze kunnen zowel fysiek als virtueel zijn.

Citrix heeft een update gepubliceerd: https://www.citrix.com/bl...ix-gateway-vulnerability/
Noot bij de mitigerende maatregel: Er zijn licentie requirements voor het configureren voor een responder. Neem indien nodig contact op met Citrix support voor een tijdelijke licentie.
De ironie is dat Citrix (en andere terminal-achtige omgevingen) juist gemaakt zijn om remote code te executen. Maar dit probleem gaat meer over *unintended* (of unattended) remote code execution ;)
Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen. "Vooralsnog is er geen actieve exploit waargenomen, maar deze worden wel verwacht", schreef het NCSC toen.
Een POC is op 10-1 beschikbaar gemaakt en sindsdien zijn er daadwerkelijk actieve exploits die hier misbruik van maken.

Zie:
https://isc.sans.edu/foru...eway+Vulnerability/25686/
https://isc.sans.edu/foru...+Observed+Payloads/25704/
Fingers crossed dat de machines of het netwerk plat mogen gaan. Klinkt misschien raar, maar beveiliging is een 24/7 taak en bedrijven die dit niet serieus nemen mogen van mij best plat gaan. Of ransomware, en dan weer lekker betalen. Hoevaak moet het nog in het nieuws komen voordat men dit soort dreigingen serieus gaat nemen? Wie niet luisteren wil...
Ik snap de emotie, die voel ik ook regelmatig, maar het is ook een onmogelijke situatie waar we met z'n allen in verzeild zijn geraakt. We zijn ontzettend afhankelijk geworden van software maar missen de methodes om die degelijk, betrouwbaar en veilig te maken, (mede) daardoor is het ontwikkelen van software ontzettend duur. Daar komt nog eens bij dat het ontzettend moeilijk is om de kwaliteit van software te beoordelen. Je hebt een gedegen IT-achtergrond nodig en toegang tot de broncode om een beetje zinnig oordeel te kunnen vormen. Voor een "gewoon" (niet-IT) bedrijf is het praktisch onmogelijk.

Echt goed bestaat niet, een beetje goed is peperduur. De meeste organisaties zouden hun hele budget in IT kunnen stoppen en nog niet echt veilig zijn. Zonder IT gaat echter ook niet. De IT voegt zo veel waarde toe dat je zonder niet meer kan concurreren. Zo is iedereen min of meer gedwongen om brakke IT te accepteren.

We maken kleine stapjes vooruit doordat de wet (en verzekeraars) steeds meer eisen stellen. Hierdoor wordt de ondergrens opgehoogd voor iedereen, en kun je investeren zonder marktaandeel te verliezen aan een concurrent die niet zou investeren in verbetering als hij daar niet toe gedwongen werd.

De meeste software wordt echter nog geschreven voor markten groter dan de onze waarin dat soort overwegingen een kleinere rol spelen. We zullen de kwaliteit van software wereldwijd moeten verbeteren.
Jemig, ik ben 't met zoveel in jouw tekst niet eens dat ik niet weet waar ik moet beginnen, laat staan dat ik snap waarom je een +2 krijgt. Puntsgewijs dan maar:
"We zijn ontzettend afhankelijk geworden van software maar missen de methodes om die degelijk, betrouwbaar en veilig te maken, (mede) daardoor is het ontwikkelen van software ontzettend duur. Daar komt nog eens bij dat het ontzettend moeilijk is om de kwaliteit van software te beoordelen. Je hebt een gedegen IT-achtergrond nodig en toegang tot de broncode om een beetje zinnig oordeel te kunnen vormen. Voor een "gewoon" (niet-IT) bedrijf is het praktisch onmogelijk."
Het volledig bugfree maken van software is best moeilijk, het blijft wel mensenwerk (naja, meestal dan). Maar veel code wordt al automatisch gecontroleerd en de grote partijen dichten lekken en fixen bugs over het algemeen binnen een paar dagen. Citrix is in deze even een slecht voorbeeld. Kwaliteit van software gaat niet alleen maar over veiligheid maar ook over netheid in het coden, optimalisatie en meer. BIj de meeste commerciele partijen zullen ze sowieso glimlachen als je toegang tot de broncode vraagt. De kans dat je dat krijgt is kleiner dan nul. Ik ben het met je eens dat je een fatsoenlijke IT achtergrond nodig hebt om een IT omgeving fatsoenlijk te beveiligen. Dat wil niet zeggen dat je dat zelf moet hebben. Daar zijn externe dienstverleners voor.
Echt goed bestaat niet, een beetje goed is peperduur. De meeste organisaties zouden hun hele budget in IT kunnen stoppen en nog niet echt veilig zijn. Zonder IT gaat echter ook niet. De IT voegt zo veel waarde toe dat je zonder niet meer kan concurreren. Zo is iedereen min of meer gedwongen om brakke IT te accepteren.
Ik zou niet weten waar je aan refereert maar het huidig kwaliteitsniveau van software is aardig hoog, zeker als je het vergelijkt met een tiental jaar geleden. Nou weet ik niet wat je achtergrond is en vanuit welke positie je je opmerking maakt, maar ik zie al jaren het volgende: IT is al jaren geen bijrol van de administratie meer. IT is een kernfunctie in nagenoeg ieder bedrijf, uitzonderingen daargelaten. Bij de meeste bedrijven wordt geen rekening meer geschreven en kan geen persoon meer werken zodra de IT eruit ligt. Het is dus hoog tijd dat IT dan ook als kernfunctie benaderd wordt, als dat al niet zo is. En IT hoort in de kern al veilig te zijn, dus moet je veiligheid van meet af aan meenemen. Firewalls, antivirus, fatsoenlijk patch management, fatsoenlijk device management. Er zijn standaard werkwijzen genoeg die je kunt adopteren als je niet weet waar je moet beginnen. Er is geen excuus meer voor brakke IT.
We maken kleine stapjes vooruit doordat de wet (en verzekeraars) steeds meer eisen stellen. Hierdoor wordt de ondergrens opgehoogd voor iedereen, en kun je investeren zonder marktaandeel te verliezen aan een concurrent die niet zou investeren in verbetering als hij daar niet toe gedwongen werd.
Opmerkelijke visie. Ik zou toch willen dat mijn bedrijfsdata en financiele gegevens veilig zijn. Daar heb ik de overheid of een verzekeraar niet voor nodig. Ik zou niet willen dat mijn klanten met hun data door mijn toedoen op straat liggen, of dat mijn computers met mijn financiele data gelockt zijn door ransomware. Je gaat toch ook niet de weg op met een auto waar de deuren vanaf vallen of de banden glad zijn? Waarom ga je dan wel met een brakke PC het internet op? Daarbij komt dat bij de meeste bedrijven hun volledige kapitaal alleen nog bestaat uit data. Of dat nu klanten, ontwerpen of productie procedures zijn, uiteindelijk is het allemaal data.
De meeste software wordt echter nog geschreven voor markten groter dan de onze waarin dat soort overwegingen een kleinere rol spelen. We zullen de kwaliteit van software wereldwijd moeten verbeteren.
Nou werk ik voor een software bedrijf en ik begrijp totaal niet waar je op doelt. Iedere software producent wil dat zijn product veilig is en niet in de krant of op internet staan met een lek of een bug. Zoals gezegd, ik ben van mening dat software de laatste 2 decennia al dramatisch in kwaliteit omhoog is gegaan. Met de hele cloud beweging kan men ook bijna niet anders. Lekken worden genadeloos afgestraft en data breaches kosten al snel bakken met geld en de reputatieschade is enorm.

Samengevat: Onwetendheid is geen excuus. Als je een bedrijf hebt, moet je investeren in IT en veiligheid. Je kunt gelukkig tegenwoordig veel software als dienst afnemen zodat je je daar niet echt meer mee bezig hoeft te houden. Toch moet je altijd je systemen updaten, je firewall scherp instellen en je beschermen tegen spam, phishing, virussen en andere rommel. Dat is al jaren zo en dat zal de komende jaren alleen maar belangrijker worden.

Wat je gelukkig tegenwoordig steeds meer ziet is de introductie van Known Good versus op zoek gaan naar het slechte. Ook met behulp van Artificial Intelligence en Machine Learning wordt het 'normale' IT gebruik vastgelegd en als goed bevonden. Zodra de systemen een afwijking zien, wordt alarm geslagen. Dit maakt dat het bewaken van de veiligheid iets makkelijker. Desalniettemin ben en blijf je zelf verantwoordelijk.
Het volledig bugfree maken van software is best moeilijk, het blijft wel mensenwerk (naja, meestal dan). Maar veel code wordt al automatisch gecontroleerd en de grote partijen dichten lekken en fixen bugs over het algemeen binnen een paar dagen.
Citrix is in deze even een slecht voorbeeld. Kwaliteit van software gaat niet alleen maar over veiligheid maar ook over netheid in het coden, optimalisatie en meer.
Dan zijn we het eens, het schrijven van foutloze code is bijzonder moeilijk. We hebben tools om kleine foutjes te vinden, maar ontwerpfouten (bv geen encryptie gebruiken waar dat wel nodig is) vinden dat soort tools niet. Dat soort tools vind ik een 'brute-force' oplossing. In plaats van problemen te voorkomen proberen we ze achteraf op te sporen.

Als we een brug bouwen dan rekenen we van te voren uit of de brug sterk genoeg is en hoeveel veiligheidsmarges er nodig zijn om te compenseren voor te verwachten foutjes. In de IT rekenen we eigenlijk nooit uit of software veilig is of niet, we weten nauwelijks hoe dat moet. Het is heel normaal dat een programmeur meer tijd bezig is met debuggen dan met ontwerpen.
BIj de meeste commerciele partijen zullen ze sowieso glimlachen als je toegang tot de broncode vraagt. De kans dat je dat krijgt is kleiner dan nul.
Dat klopt en dat is precies mijn probleem. Ik kan zelf eigenlijk niet controleren of ze kwaliteit en veiligheid leveren. Als ik niks kan controleren, waarom zou ik dan meer betalen voor product A dan voor product B?
Ik ben het met je eens dat je een fatsoenlijke IT achtergrond nodig hebt om een IT omgeving fatsoenlijk te beveiligen. Dat wil niet zeggen dat je dat zelf moet hebben. Daar zijn externe dienstverleners voor.
Dat klopt maar dat is het probleem verplaatsen. Hoe beoordeel je externe dienstverleners. Ze beloven allemaal dat ze perfect zijn, maar er is geen controle of toezicht, je moet ze dus maar op hun woord geloven. Als ik twee aanbieders heb die hetzelfde beloven dan kies ik de goedkoopste. Dus moeten alle aanbieders concurreren op prijs en is er weinig ruimte voor kwaliteit en veiligheid.
Ik zou niet weten waar je aan refereert maar het huidig kwaliteitsniveau van software is aardig hoog, zeker als je het vergelijkt met een tiental jaar geleden.
Het gaat beter, maar we gebruiken ook veel meer software dan 10 jaar geleden en zijn er meer van afhankelijk, dus ik weet niet of we netto beter af zijn.
Het is dus hoog tijd dat IT dan ook als kernfunctie benaderd wordt, als dat al niet zo is.
Daar leg je de vinger op de zere plek. Niemand kan nog zonder IT, maar dat betekent niet dat iedereen er ook oog voor heeft. Zelfs de lokale fietsenmaker heeft tegenwoordig een website nodig en een computersysteem voor de boekhouding. Ga die maar vertellen dat IT een kernfunctie van z'n bedrijf is en dat hij beter een nieuw SSL-certificaat kan kopen dan een nieuw uithangbord voor z'n winkel. De meeste organisaties willen geen IT-organisatie zijn, ook al zijn ze dat defacto wel.
En IT hoort in de kern al veilig te zijn, dus moet je veiligheid van meet af aan meenemen.
En boeven horen in de gevangenis te zitten, maar hoe krijgen we dat voor elkaar?
Firewalls, antivirus, fatsoenlijk patch management, fatsoenlijk device management. Er zijn standaard werkwijzen genoeg die je kunt adopteren als je niet weet waar je moet beginnen. Er is geen excuus meer voor brakke IT.
Dat kan, maar het kost allemaal geld.
Opmerkelijke visie. Ik zou toch willen dat mijn bedrijfsdata en financiele gegevens veilig zijn. Daar heb ik de overheid of een verzekeraar niet voor nodig. Ik zou niet willen dat mijn klanten met hun data door mijn toedoen op straat liggen, of dat mijn computers met mijn financiele data gelockt zijn door ransomware.
Natuurlijk wil niemand dat. Dat betekent niet dat ze de kennis of het geld hebben om een goede keuze te maken. Je bent fietsenmaker, je kan kiezen tussen twee firewalls. Eentje kost 1 euro per maand, eentje kost 10.000 euro per maand. Allebei beloven ze 100% kwaliteit. Je zaak heeft 1000 euro per maand te besteden. Die van 1 euro per maand is een luie prutser, zo goedkoop kan helemaal niet, maar dat weet jij niet want je bent geen IT'er en je hebt geen inzage in de broncode. Welke kies je?

Natuurlijk kies je die van 1 euro per maand. Als je die van 1.000 euro per maand kiest gaat je bedrijf failliet. Beide producten zijn, voor zover jij dat kan beoordelen, echter even goed. Het bedrijf dat 1.000 euro per maand vraagt zal z'n prijs moeten verlagen tot ze ook 1 euro per maand kosten. Dan weet je dat er ook bezuinigd wordt op de kwaliteit. Via de wet (of verzekering) kunnen we basis-eisen leggen zodat je niet hoeft te concurreren met een oplichter die een onrealistisch lage prijs vraagt.
Je gaat toch ook niet de weg op met een auto waar de deuren vanaf vallen of de banden glad zijn?
Ik niet, maar je doet nu net alsof je nog nooit een auto met vale banden hebt gezien. Het is stom, maar ze rijden wel degelijk zo rond.
Waarom ga je dan wel met een brakke PC het internet op? Daarbij komt dat bij de meeste bedrijven hun volledige kapitaal alleen nog bestaat uit data. Of dat nu klanten, ontwerpen of productie procedures zijn, uiteindelijk is het allemaal data.
Dat weet jij en dat weet ik, maar overal is er altijd een gebrek aan geld, middelen en mensen. Overal worden compromissen gesloten. Daarbij trekt IT(beveiliging) vaak aan het kortste eind omdat beveiliging het grootste deel van de tijd onzichtbaar is en omdat IT al snel een bodemloze put is. De duurste oplossingen zijn eigenlijk nog niet goed genoeg.
Samengevat: Onwetendheid is geen excuus. Als je een bedrijf hebt, moet je investeren in IT en veiligheid. Je kunt gelukkig tegenwoordig veel software als dienst afnemen zodat je je daar niet echt meer mee bezig hoeft te houden. Toch moet je altijd je systemen updaten, je firewall scherp instellen en je beschermen tegen spam, phishing, virussen en andere rommel. Dat is al jaren zo en dat zal de komende jaren alleen maar belangrijker worden.
Het is geen excuus, het is een observatie. De wereld zou anders moeten zijn, maar dat is niet zo.
Wat je gelukkig tegenwoordig steeds meer ziet is de introductie van Known Good versus op zoek gaan naar het slechte. Ook met behulp van Artificial Intelligence en Machine Learning wordt het 'normale' IT gebruik vastgelegd en als goed bevonden. Zodra de systemen een afwijking zien, wordt alarm geslagen. Dit maakt dat het bewaken van de veiligheid iets makkelijker. Desalniettemin ben en blijf je zelf verantwoordelijk.
Allemaal lapmiddelen voor slechte IT.
Zoeiezo bestaat het begrip veilig niet zolang mensen in sommige landen te veel vrijetijd hebben of voor exploits te goed betaald worden.

Immers een bug is pas een bug nadat hij gevonden is waardoor het te laat is.

En het is onmogelijk om alle issues van te voren te bedenken zeker als je de integratie van meerdere 3th party software mee moet nemen.
Grote onzin, de meerderheid van de bedrijven installeren software en gebruiken aanbevolen methoden om hun systemen en processen te beveiligen, als dan later blijkt dat er in die software een fout zit kun je dit niet die bedrijven verwijten. Of is het ook jouw fout als jouw auto die je 2 jaar geleden hebt gekocht door een softwarefout besluit om een noodstop op de snelweg te maken waardoor iedereen op elkaar klapt.
Als jij de brief van de dealer om voor een software-update terug te komen al maanden op je kast hebt liggen en er niets mee gedaan hebt vind ik inderdaad dat jou wel wat te verwijten valt...
In dit geval is er nog geen update beschikbaar.
Want een VPN client bevat nooit lekken? :?
Afhankelijk van de inrichting kan je via een VPN meer schade veroorzaken dan via een Citrix connectie.

Citrix heeft hier juist de oplossing voor en dit heet netscaler. Het is niet helemaal de bedoeling om je netscaler in hetzelfde LAN te hangen als je VDI's/VDA's (citrix) en overige servers, via bijvoorbeeld acces rules kan je er dan voor zorgen dat enkel het nodige verkeer heen en weer kan gaan tussen je netscaler en je citrix omgeving.

Zie: https://support.citrix.co...mages/0EM0z000000BLQ3.png

Zolang je eindgebruiker vanaf een externe locatie inlogt loop je altijd een bepaald risico omdat geen enkele software water dicht is.
Je hebt geen idee wat een Netscaler is, of wel? Dat is juist een o.a. security appliance die VPN, 2FA, reverse proxy, ssl tunneling en dat soort zaken doet, en die hang je tússen je lan en internet in. Soort DMZ device dus.

Maar zoals al gezegd door anderen, elke softwateyen appliance kan (en zal) lekken bevatten.
Dit *is* de 'VPN' die je tussen de Citrix server het het internet hangt....het gaat hier om een exploit van de ADC, voorheen bekend als Netscaler. Dus, in jouw analogie: het VPN is juist lek.
Dat is dus niet het geval. De kwetsbare appliance is onder andere een VPN appliance, en dient er in veel gevallen juist voor om de Citrix servers niet direct aan het internet te hoeven hangen.
De producten waar deze lek in zit zijn juist de apparaten/diensten die je aan het internet koppelt, zodat je je Citrix omgeving veilig aan het internet kunt koppelen.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True