Privacywaakhond: 29 bedrijven melden mogelijk datalek door Citrix-kwetsbaarheid

De Nederlandse toezichthouder Autoriteit Persoonsgegevens laat weten dat 29 organisaties tot nu toe een melding hebben gemaakt van eventuele datalekken die door de beveiligingslekken in de Citrix-virtualisatieomgeving zijn veroorzaakt.

Een woordvoerder van de AP heeft dat tegen de NOS gezegd. Het is nog niet duidelijk of er in alle 29 gevallen daadwerkelijk sprake is van een datalek; dat zou nog worden onderzocht. Evenmin is bekend om wat voor bedrijven en organisaties het gaat.

Eerder werd duidelijk dat bijvoorbeeld de gemeente Zutphen een inbraakpoging heeft gedetecteerd op zijn netwerk en het Medisch Centrum Leeuwarden sprak van een poging van hackers om in te breken. Het ziekenhuis besloot toen het externe dataverkeer tijdelijk stil te leggen, maar inmiddels meldt het bedrijf dat de 'digitale communicatiekanalen' weer beschikbaar zijn. Sinds woensdagochtend is het patiëntenportaal mijnMCL.nl weer bereikbaar en thuiswerken door medewerkers behoort ook weer tot de mogelijkheden. Het ziekenhuis heeft hiervoor een patch doorgevoerd.

Het lek bij Citrix werd vorige maand bekend. In Nederland zijn meer dan zevenhonderd network appliances van Citrix actief waarbij de kwetsbaarheid een risico vormt. Beveiligingsonderzoekers gaven een week geleden aan dat die servers ook actief worden aangevallen. Door de kwetsbaarheid is het mogelijk om code op een server uit te voeren. Eerder gaf het National Cyber Security Centrum organisaties het advies om de servers van de Citrix Application Delivery Controller en de Citrix Gateway uit te schakelen totdat er een oplossing is via een patch. Allerlei bedrijven, overheden instellingen besloten dat te doen. Enkele dagen geleden bracht Citrix hier patches voor uit.

Door Joris Jansen

Redacteur

Feedback • 22-01-2020 13:43 29

22-01-2020 • 13:43

29

Lees meer

T-Mobile meldt datalek van gegevens Vodafone Thuis-klanten van voor 2016
T-Mobile meldt datalek van gegevens Vodafone Thuis-klanten van voor 2016 Nieuws van 25 augustus 2020
Nederlandse cryptoexchange Anycoin Direct maakt melding van datalek
Nederlandse cryptoexchange Anycoin Direct maakt melding van datalek Nieuws van 28 februari 2020
Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken
Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken Nieuws van 24 februari 2020
Klantgegevens Slickwraps buitgemaakt door datalek - update
Klantgegevens Slickwraps buitgemaakt door datalek - update Nieuws van 21 februari 2020
Citrix maakt beveiligingsupdates voor ADC en Gateway 12.1 en 13.0 beschikbaar
Citrix maakt beveiligingsupdates voor ADC en Gateway 12.1 en 13.0 beschikbaar Nieuws van 24 januari 2020
Citrix brengt patch uit voor sommige kwetsbare ADC's en Gateway
Citrix brengt patch uit voor sommige kwetsbare ADC's en Gateway Nieuws van 20 januari 2020
Bedrijven, overheden en gemeenten schakelen Citrix-systemen uit voorzorg uit
Bedrijven, overheden en gemeenten schakelen Citrix-systemen uit voorzorg uit Nieuws van 17 januari 2020
Advies NCSC: overweeg Citrix ADC- en Gateway-servers uit te schakelen
Advies NCSC: overweeg Citrix ADC- en Gateway-servers uit te schakelen Nieuws van 16 januari 2020
Ook gemeente Zutphen slachtoffer van Citrix-kwetsbaarheid
Ook gemeente Zutphen slachtoffer van Citrix-kwetsbaarheid Nieuws van 15 januari 2020
Ziekenhuis in Leeuwarden staakt extern dataverkeer tijdelijk wegens hackpoging
Ziekenhuis in Leeuwarden staakt extern dataverkeer tijdelijk wegens hackpoging Nieuws van 15 januari 2020
713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution
713 Citrix-servers in Nederland zijn kwetsbaar voor remote code execution Nieuws van 13 januari 2020
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren Nieuws van 12 januari 2020
'Citrix-kwetsbaarheid vormt risico voor netwerken van 80.000 bedrijven'
'Citrix-kwetsbaarheid vormt risico voor netwerken van 80.000 bedrijven' Nieuws van 23 december 2019
Citrix: hackers hebben toegang gekregen tot intern netwerk
Citrix: hackers hebben toegang gekregen tot intern netwerk Nieuws van 10 maart 2019
Meer producten en artikelen
Beveiliging en antivirus Privacy Citrix Nederland

Reacties (29)

-Moderatie-faq
29
25
19
5
0
1
Wijzig sortering

Sorteer op:

Weergave:
Sibfg 22 januari 2020 14:23
De term datalek kan hier een verkeerde indruk wekken. De AVG heeft het over inbreuken en rekent daaronder ook inbreuken op beschikbaarheid. Door het afsluiten van bijvoorneeld portalen zijn deze niet beschikbaar, zoals bij een ziekenhuis voor patiënten. Als je het preventief doet zonder gehackt te zijn, kun je je afvragen of je dit moet melden. Desondanks zijn de gevolgen erger dan wanneer je dit doet voor regulier onderhoud. Je kunt ook stellen dat de gegevens nog steeds beschikbaar zijn alleen langs andere weg; als je dit vind, dan zul je niet melden. Organisaties kunnen zelf een afweging maken.
Zie het advies van Groep gegevensbescherming artikel 29, WP250 rev. 01.

Daarnaast kunnen organisaties een voorlopige melding doen omdat ze in incident hebben gehad en nog in onderzoek hebben of er daadwerkelijk wat gebeurt is. Dit om te voldoen aan de termijn van 72 uur voor melden.
PB-powell @Sibfg22 januari 2020 14:30
Volgens mij gaat het ook om het laatste bij deze 29 meldingen, dat er mogelijk data is gelekt door de kwetsbaarheid. Niet zozeer dat systemen niet bruikbaar waren van buitenaf, veel meer bedrijven dan die 29 hebben de toegang afgesloten daarvoor, maar 29 hebben gezien dat dat mogelijk te laat was (om wat voor reden dan ook). Deze melden nu dat er mogelijk data is gelekt maar nog bezig zijn met onderzoeken of dat daadwerkelijk zo is en welke data er dan gelekt is.
Cergorach
22 januari 2020 13:53
Dat gaan het komend jaar nog een heel stuk meer worden... Zelfs bedrijven die het recent uit hebben gezet en nu hebben gepatched, in de tussentijd kan er prima wat zijn binnengedrongen welke op een later tijdstip narigheid zou kunnen geven...
garriej @Cergorach22 januari 2020 15:39
Is het niet zo dat tenzij je kan bewijzen dat er niemand binnen is geweest je een melding moet doen? Ik vind het dan ook erg weinig bedrijven die gemeld hebben.

Er waren heel veel Netscalers kwetsbaar in NL, in feite moeten die allemaal meldingen doen.
M8T66 @garriej22 januari 2020 16:45
Nee, een mogelijk datalek is niet hetzelfde als een gecompromitteerde server. Het kan best zijn dat uit onderzoek blijkt dat ze wel binnen zijn geweest maar dat logdata bewijst dat er geen informatie is gelekt.
Darth_Roel 22 januari 2020 13:50
AP of ACM?
dutchgio @Darth_Roel22 januari 2020 13:54
AP, in het bronartikel van de NOS is het wel correct geschreven.
Edit: het is gecorrigeerd in een ninja edit. :)

[Reactie gewijzigd door dutchgio op 22 juli 2024 15:19]

AuteurKoekiemonsterr @Darth_Roel22 januari 2020 13:54
Oops ja, dat moet de AP zijn. Haalde even de twee toezichthouders beginnend met een A door elkaar 8)7
Darth_Roel @Koekiemonsterr22 januari 2020 14:04
:)
Rataplan_ @m3gA22 januari 2020 14:19
Ook een Netscaler is een server. Leeg eens uit wat je punt is?
m3gA @Rataplan_22 januari 2020 14:47
Een netscaler is een netwerk appliance. Heel zwart wit kun je het een server noemen maar zo wordt het in de praktijk niet gezien. Zeker omdat mensen Citrix XenApp servers als Citrix servers zien geen goede zet om dit zo te benoemen.
Cergorach
@m3gA22 januari 2020 15:12
Netscaler ADC is toch ook als hardware platform verkrijgbaar ipv. alleen als een appliance?
https://www.citrix.com/nl...citrix-adc/platforms.html
m3gA @Cergorach22 januari 2020 15:23
Dus een hardware appliance. (MPX is hardware, VPX virtueel)
ijdod @Cergorach22 januari 2020 16:40
Grappig, voor mij is appliance fysiek, tenzij men het over een virtual appliance heeft :P

Maar Netscaler is leverbaar als beiden.
YoMarK @Rataplan_22 januari 2020 14:42
Omdat een Netscaler(ADC) geen Citrix server is, maar een loadbalancer/reverse proxy/VPN oplossing.
Ja, maar hij is toch van het bedrijf Citrix? Klopt! Maar die hebben een boel verschillende producten, en met "Citrix server" wordt gewoon een ander product bedoeld.

Er ontstaat een boel verwarring door het verkeerd gebruiken van product namen.

In de Citrix servers zelf zit geen exploit, maar die zijn conceptueel, net als andere terminal servers, b.v. van Microsoft, niet bijzonder geschikt(of bedoeld) om direct aan het internet te hangen.

[Reactie gewijzigd door YoMarK op 22 juli 2024 15:19]

RoestVrijStaal @Verwijderd22 januari 2020 14:36
Stoere praat.

Wat wil jij tegen een Zero Day exploit beginnen waarbij je 100% afhankelijk bent (van de kennis en kunde) van je leverancier, èn geen onbeperkt budget hebt?
Crazy Harry @RoestVrijStaal22 januari 2020 15:26
De fout dat je voor 100% van een ander afhankelijk bent herstellen en voor de volgende keer dus je afhankelijkheid verminderen, en dat kan prima met een klein budget.
batjes @Crazy Harry22 januari 2020 17:16
Want van jezelf afhankelijk zijn is wel de oplossing? Dit is het hele probleem waarom Linux niet op dezelfde wijze door wilt breken als Windows.

Red Hat Enterprise is niet goedkoper en als je afhankelijkheid bij je eigen organisatie ligt, heb je of heel duur personeel nodig, of je mag alsnog voor veel geld derden in gaan huren als je er zelf niet uit komt.

Als we van DICTU en SSC-ICT gaan verwachten dat ze vrijwel volledig zelfredzaam zijn, mogen die budgetkranen wel erg ver opengedraait worden, die kloten nu te vaak maar wat aan vanwege het gebrek aan beschikbaar budget. Met de huidige budgetten en salarissen hark je niet even een volledig eigen ontwikkelteam naar binnen, laat staan de support. Er is nu al een tekort aan Linux guru's.

Het is een utopie om dat te kunnen, je vergist je er enorm in hoe ontzettend kostbaar het allemaal is. Waar de afhankelijkheid geminderd kan worden, gebeurd dit zeker. Niet voor niets dat Capgemini en Ordina er bv bij een aantal rijksdiensten uitgeknikkerd zijn de afgelopen jaren.
jozuf @Crazy Harry22 januari 2020 15:42
Als je een product koopt ben je per definitie 100% afhankelijk van een leverancier. En als dat product een kwetsbaarheid heeft meestal ook afhankelijk om het door hun te laten oplossen.
Wat je voorsteld is alles zelf te gaan maken, wat onmogelijk is en ook niet per definitie veiliger.

Als je bv windows aanschaft ben je 100% afhankelijk van ms om de kwetsbaarheden daar in op te lossen.
Dat is gewoon niet anders. Je kan dan moeilijk zomaar ff overschakelen op een ander eco systeem. Dan had je dit al voor de hand moeten hebben (dual boots op linux ofzo) en ondersteunen. Dat is dan een gigantische kosten post.

[Reactie gewijzigd door jozuf op 22 juli 2024 15:19]

RoestVrijStaal @Crazy Harry22 januari 2020 16:47
De fout dat je voor 100% van een ander afhankelijk bent herstellen en voor de volgende keer dus je afhankelijkheid verminderen, en dat kan prima met een klein budget.
Zelfs onderzoek doen naar een alternatief, zodat de afhankelijkheid minder is, kost FTE.
En dan hebben we het nog niet eens over implementatie, migratie en omscholing gehad.
Daniel304 @Verwijderd22 januari 2020 14:35
Jammer dat de basis van deze server nu net linux is..
Blijft een stukje software wat gewoon lek kan zijn...
VPN is ook niet altijd een oplossing... begrijp me niet verkeerd.. Ik ben nog steeds van menig dat je liever een linux server aan het internet hebt hangen dan een windows server maar dit ligt dan ook wel vaak aan hoe capabel de beheerder is.
YoMarK @Daniel30422 januari 2020 14:47
Netscaler = FreeBSD zelfs.
thijssie83 @Verwijderd22 januari 2020 16:51
Nee hoor, een Netscaler kan juist heel goed ingezet worden als reverse proxy of loadbalancer can websites e.d.
YoMarK @Verwijderd22 januari 2020 14:35
Een Netscaler(ADC) is een VPN oplossing.
Cergorach
@Verwijderd22 januari 2020 15:08
Hoeveel niet Windows gerelateerde lekken zijn er onderhand wel niet gevonden in bv. Apache, PHP, Wordpress of PHPBB (en nog legio andere niet Windows gerelateerde meuk)? Veel, heel veel! Daarnaast is de Citrix ADC (Netscaler) niet Windows gerelateerd zooi, het draait al geen Windows en is niet specifiek voor Windows. Het is puur omdat Windows het primaire OS bij bedrijven is dat deze vaak in combinatie wordt gebruikt.

Kijk bv. voor een aantal grote Linux issues over de jaren heen:
https://resources.whiteso...ux-kernel-vulnerabilities

Het is niet zo omdat niemand een lek heeft gevonden dat er geen lek is. Hoe vaker software wordt gebruikt hoe populairder het is onder de beveiligingsonderzoekers en de hackers. Daarnaast zijn er ook lekken die nog niet openbaar zijn gemaakt omdat de personen/organisaties die ze hebben gevonden, ze zelf (mis)bruiken.

Daarnaast is 'veiligheid' geen ja of nee propositie, je kan als bedrijf velen malen je jaar omzet er insteken en nog steeds niet compleet veilig zijn. Data is alleen veilig als niemand er (ooit) bij kan, dat maakt die data echter niet bruikbaar in een bedrijf. Het is altijd een afweging tussen (perceived) veiligheid, kosten en gebruikersvriendelijkheid. En veel bedrijven willen prima investeren in veiligheidsmiddelen, maar die zijn (zoals je hier ook ziet) niet altijd even veilig en het is koffiedik kijken welke dat wel/niet is in de toekomst. Daarnaast is IT ook niet altijd even capabel met het communiceren van wat ze nodig hebben zonder terug te vallen op een technisch verhaal (laat staan dat ze de impact op een niet IT wijze kunnen overbrengen)...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq