Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution

Er zijn in Nederland zeker 713 Citrix-servers actief die last hebben van een bekende kwetsbaarheid. Volgens beveiligingsonderzoekers worden die servers op het moment actief aangevallen. Door de kwetsbaarheid kan code op een server worden uitgevoerd.

Dat blijkt uit honeypot-data van beveiligingsbedrijf Bad Packets. Onderzoekers scanden internet op Citrix Gateway- en Citrix Application Delivery Controller-servers. Daarvan is bekend dat ze een mogelijke kwetsbaarheid bevatten. CVE-2019-19781 is een kwetsbaarheid waarmee een aanvaller een remote code execution kan uitvoeren op een systeem. Die zwakte is sinds 17 december vorig jaar bekend. Er is op dit moment nog geen patch beschikbaar. De eerste daarvan volgt volgens Citrix naar verwachting rond 20 januari, met een uitloop naar 31 januari. Wel is er mitigatie mogelijk, zegt Citrix.

De onderzoekers van Bad Packets scanden in totaal meer dan 60.000 Citrix-servers. Daarvan waren er 25.121 kwetsbaar, met ssl-certicaten van 18.155 unieke domeinnamen. Het gaat om kwetsbare hostmachines in 122 landen. In Amerika staan bijna 10.000 kwetsbare servers. Nederland staat naast de VS, Duitsland, het VK, Zwitserland en Australië op de zesde plaats in de lijst met landen waar de meeste servers stonden. In totaal gaat het hier om 713 stuks. De organisatie zegt dat het een honeypot heeft opgezet waarop het nu voor het eerst activiteit ziet. Aanvallers scanden sinds vorige week zelf internet al voor servers waar het bestand smb.conf op stond, een aanwijzing dat de betreffende server kwetsbaar was. Sinds zondag proberen aanvallers ook daadwerkelijk de systemen te infecteren.

Vorige week riep het Nationaal Cyber Security Centrum bedrijven al op hun systemen te patchen. "Vooralsnog is er geen actieve exploit waargenomen, maar deze worden wel verwacht", schreef het NCSC toen.

Door Tijs Hofmans

Redacteur privacy & security

13-01-2020 • 12:46

58 Linkedin Google+

Reacties (58)

Wijzig sortering
Clouddatacenter infra is een soort van magische box die iig een stuk secureder dan alle onprem datacenters.

Waar het mis gaat is het gebruik van niet saas oplossingen die weer de traditionele fouten bevatten
De mitigatie is vervolgens ook te testen met de tool uit het volgende artikel.

https://www.us-cert.gov/n...and-gateway-vulnerability
Mooie tool! Eventueel kun je ook een CURL commando uitvoeren richting de specifieke host:

curl -vk –path-as-is https://$TARGET/vpn/../vpns/ 2>&1 | grep “You don’t have permission to access /vpns/” >/dev/null && echo “VULNERABLE: $TARGET” || echo “MITIGATED: $TARGET”

bron: https://www.tripwire.com/...81-what-you-need-to-know/
Zonder nu weer in een heel quote unquote verhaal te vervallen: als ik het goed begrijp vind jij alle software per definitie onveilig, duur en tast het de integriteit van kleine ondernemers aan die niet begrijpen waarom ze veel geld moeten investeren in iets dat ze geen waarde oplevert. Correct me if I'm wrong.

Ik blijf erbij dat onwetendheid geen excuus is. En dan bedoel ik niet dat jij ontwetend bent (we zijn hier tenslotte op een tech forum site, dus ik ga er vanuit dat je het snapt) maar ik bedoel daarmee de gemiddelde MKB ondernemer, want dat lijkt je referentiekader te zijn. IT is nu eenmaal een kerndeel van je bedrijf geworden, of je het nu wil of niet. Sterker nog, IT is een kerndeel van onze samenleving geworden, met digitaal bankieren, social media en digitale overheid. Je kunt niet zonder, hoe graag je ook zou willen. Dan kun je blijven vasthouden aan het goede handwerk, zoals die fietsenmaker of bakker, maar dat is je ogen sluiten voor de werkelijkheid. Er zijn ook politieke partijen die graag terug zouden willen naar de jaren 50 of de jaren 70 toen de wereld nog naar hun denkbeeld was. Je kunt de tijd echter niet terugdraaien. Dus net zo min als dat zij hun zin gaan krijgen, gaat het de gemiddelde ondernemer lukken om IT buiten de deur te houden.

En natuurlijk zal er die ene persoon zijn die met gladde banden probeert met 160 door de IJTunnel te rijden. Maar die gaat vroeger of later een ongeval krijgen. In het gunstigste geval heeft hij/zij alleen zichzelf verwond maar in het ongunstigste geval ook een onschuldig slachtoffer dat toevallig net de straat overstak. Zo is het ook met IT. Ja, je kunt heel snel zonder beveiliging door internet. Niet lang, wel snel. In het gunstigste geval ben je alleen zelf de pineut. In het ongunstigste geval liggen je klantgegevens op straat en hang je voor het lekken van data. En terecht. Als beheerder van die data heb je een verantwoording naar die personen toe wiens data jij bezit. Zorgvuldig handelen begint bij jezelf.

Lapmiddelen voor slechte IT zeg jij, innovatie zeg ik. Wat is slechte IT? Het feit dat iemand misbruik maakt van fouten van anderen in software? Maakt dat de software slecht of de persoon die het misbruikt? Je geeft zelf al de analogie: Alle boeven zouden in het gevang moeten zitten. Maar er worden iedere dag nieuwe mensen geboren. Theoretisch gezien dus ook nieuwe boeven. Alleen weet je nog niet wie. In de IT is het hetzelfde. Er zal vast ergens een bug in software zitten, alleen weet je nog niet waar en wat de impact is. Sommige fouten zitten er al jaren en jaren in en worden nu pas ontdekt, zie bijvoorbeeld de speculative execution bugs bij Intel. Sommigen dateren 20 jaar terug. Known Good gaat uit van dat je weet wat je zou moeten krijgen. In principe zoals de gemiddelde politieman ook werkt. Die kijkt ook naar wie afwijkt van de norm. Die gaat vast iets doen of doet iets dat niet mag.

Wat is wijsheid? Net als bij het uitzoeken van je IT partner of de juiste software, speelt vertrouwen een grote rol. Heb je vertrouwen in de persoon die voor je zit? Uiteindelijk is het allemaal mensenwerk, ook al gaat het over een stuk IT. Dan kun je zeggen dat je niemand verrtouwt en dat iedereen per definitie het slechtste met je voorheeft. Het resultaat daarvan is dat je alles zelf moet doen want dan weet je wat je hebt.

Voor wie dat niet haalbaar is (en dat zullen de meesten zijn), zijn er partners die je, als het goed is, te goeder trouw verder helpen. Of het nu met een Citrix beveiligingsprobleem is of met de juiste keuze voor een stukje software of hardware. En ja, die rekening krijg je sowieso. Maar hem niet willen betalen omdat je IT niet wilt of snapt, is geen argument.

[Reactie gewijzigd door Froos op 14 januari 2020 17:04]

Zonder nu weer in een heel quote unquote verhaal te vervallen: als ik het goed begrijp vind jij alle software per definitie onveilig, duur en tast het de integriteit van kleine ondernemers aan die niet begrijpen waarom ze veel geld moeten investeren in iets dat ze geen waarde oplevert. Correct me if I'm wrong.
Close enough. Niet per definitie, maar wel in praktijk. Het is zo moeilijk om het goed te doen dat we voor de meeste software die moeite niet nemen. Als we de moeite wel nemen is de software vaak bijzonder simpel en kaal, kijk bijvoorbeeld naar vliegtuigindustrie.
Ik blijf erbij dat onwetendheid geen excuus is.
Het is ook geen excuus, maar het is een situatie waar je rekening mee moet houden. Geld, tijd en kennis zijn eindig. Vroeg of laat is het op.
Lapmiddelen voor slechte IT zeg jij, innovatie zeg ik. Wat is slechte IT?
Goede IT is het werk van ingenieurs. Mensen die nadenken, een plan maken en dat doorrekenen zodat ze kunnen bewijzen dat hun ontwerp goed is. In praktijk kunnen we dat haast niet. Het doorrekenen van een software-ontwerp is zo moeilijk dat niemand het ooit doet voor een serieus programma.
Er is een hoop innovatie rond het vinden van bugs, maar is nauwelijks ontwikkeling om te voorkomen dat fouten gemaakt worden. Daarom noem ik het lapmiddelen. We doen aan symptoombestrijding zonder het onderliggende probleem op te lossen.
Voor wie dat niet haalbaar is (en dat zullen de meesten zijn), zijn er partners die je, als het goed is, te goeder trouw verder helpen. Of het nu met een Citrix beveiligingsprobleem is of met de juiste keuze voor een stukje software of hardware. En ja, die rekening krijg je sowieso. Maar hem niet willen betalen omdat je IT niet wilt of snapt, is geen argument.
Wederom, ik argumenteer niet, ik observeer. Het gaat niet om de rekening niet willen betalen, maar de rekening niet kunnen betalen. Als het geld op is, dan is het geld op. Ik heb hier regelmatig gebruikers die een website willen laten bouwen en zich doodschrikken van de prijs. Vervolgens gebruiken ze hun hele budget om de site te bouwen en is er geen geld voor onderhoud. Dan kan ik hoog of laag springen maar er komt niet meer geld bij en na twee jaar is zo'n website lek.
Je hebt wel gelijk, maar de vraag is wel waar het gaat eindigen. Als partijen als de CIA kunnen worden gehackt, kan je dan wel echt ooit genoeg doen op helemaal veilig te zijn?
Wordt het zou duur dat de multinationals (Big Tech) nog machtiger worden omdat kleine bedrijven het gewoon niet kunnen betalen?
Als je kijkt hoe duur het is om bijvoorbeeld software voor automotive(wat stuurt) te bouwen in vergelijking met een consumenten app... Dat zou de hele innovatie in 1 keer stopzetten. Ik mag hopen dat het nog wel even wat meer wild westen blijft. Wat vooral belangrijk is is dat we niet al te veel aan het internet hangen en er altijd bewust van zijn dat het gehackt kan worden.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True