Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Privacywaakhond: 29 bedrijven melden mogelijk datalek door Citrix-kwetsbaarheid

De Nederlandse toezichthouder Autoriteit Persoonsgegevens laat weten dat 29 organisaties tot nu toe een melding hebben gemaakt van eventuele datalekken die door de beveiligingslekken in de Citrix-virtualisatieomgeving zijn veroorzaakt.

Een woordvoerder van de AP heeft dat tegen de NOS gezegd. Het is nog niet duidelijk of er in alle 29 gevallen daadwerkelijk sprake is van een datalek; dat zou nog worden onderzocht. Evenmin is bekend om wat voor bedrijven en organisaties het gaat.

Eerder werd duidelijk dat bijvoorbeeld de gemeente Zutphen een inbraakpoging heeft gedetecteerd op zijn netwerk en het Medisch Centrum Leeuwarden sprak van een poging van hackers om in te breken. Het ziekenhuis besloot toen het externe dataverkeer tijdelijk stil te leggen, maar inmiddels meldt het bedrijf dat de 'digitale communicatiekanalen' weer beschikbaar zijn. Sinds woensdagochtend is het patiëntenportaal mijnMCL.nl weer bereikbaar en thuiswerken door medewerkers behoort ook weer tot de mogelijkheden. Het ziekenhuis heeft hiervoor een patch doorgevoerd.

Het lek bij Citrix werd vorige maand bekend. In Nederland zijn meer dan zevenhonderd network appliances van Citrix actief waarbij de kwetsbaarheid een risico vormt. Beveiligingsonderzoekers gaven een week geleden aan dat die servers ook actief worden aangevallen. Door de kwetsbaarheid is het mogelijk om code op een server uit te voeren. Eerder gaf het National Cyber Security Centrum organisaties het advies om de servers van de Citrix Application Delivery Controller en de Citrix Gateway uit te schakelen totdat er een oplossing is via een patch. Allerlei bedrijven, overheden instellingen besloten dat te doen. Enkele dagen geleden bracht Citrix hier patches voor uit.

Door Joris Jansen

Nieuwsredacteur

22-01-2020 • 13:43

29 Linkedin

Reacties (29)

Wijzig sortering
De term datalek kan hier een verkeerde indruk wekken. De AVG heeft het over inbreuken en rekent daaronder ook inbreuken op beschikbaarheid. Door het afsluiten van bijvoorneeld portalen zijn deze niet beschikbaar, zoals bij een ziekenhuis voor patiënten. Als je het preventief doet zonder gehackt te zijn, kun je je afvragen of je dit moet melden. Desondanks zijn de gevolgen erger dan wanneer je dit doet voor regulier onderhoud. Je kunt ook stellen dat de gegevens nog steeds beschikbaar zijn alleen langs andere weg; als je dit vind, dan zul je niet melden. Organisaties kunnen zelf een afweging maken.
Zie het advies van Groep gegevensbescherming artikel 29, WP250 rev. 01.

Daarnaast kunnen organisaties een voorlopige melding doen omdat ze in incident hebben gehad en nog in onderzoek hebben of er daadwerkelijk wat gebeurt is. Dit om te voldoen aan de termijn van 72 uur voor melden.
Volgens mij gaat het ook om het laatste bij deze 29 meldingen, dat er mogelijk data is gelekt door de kwetsbaarheid. Niet zozeer dat systemen niet bruikbaar waren van buitenaf, veel meer bedrijven dan die 29 hebben de toegang afgesloten daarvoor, maar 29 hebben gezien dat dat mogelijk te laat was (om wat voor reden dan ook). Deze melden nu dat er mogelijk data is gelekt maar nog bezig zijn met onderzoeken of dat daadwerkelijk zo is en welke data er dan gelekt is.
Dat gaan het komend jaar nog een heel stuk meer worden... Zelfs bedrijven die het recent uit hebben gezet en nu hebben gepatched, in de tussentijd kan er prima wat zijn binnengedrongen welke op een later tijdstip narigheid zou kunnen geven...
Is het niet zo dat tenzij je kan bewijzen dat er niemand binnen is geweest je een melding moet doen? Ik vind het dan ook erg weinig bedrijven die gemeld hebben.

Er waren heel veel Netscalers kwetsbaar in NL, in feite moeten die allemaal meldingen doen.
Nee, een mogelijk datalek is niet hetzelfde als een gecompromitteerde server. Het kan best zijn dat uit onderzoek blijkt dat ze wel binnen zijn geweest maar dat logdata bewijst dat er geen informatie is gelekt.
AP, in het bronartikel van de NOS is het wel correct geschreven.
Edit: het is gecorrigeerd in een ninja edit. :)

[Reactie gewijzigd door dutchgio op 22 januari 2020 13:54]

Oops ja, dat moet de AP zijn. Haalde even de twee toezichthouders beginnend met een A door elkaar 8)7
Ook een Netscaler is een server. Leeg eens uit wat je punt is?
Een netscaler is een netwerk appliance. Heel zwart wit kun je het een server noemen maar zo wordt het in de praktijk niet gezien. Zeker omdat mensen Citrix XenApp servers als Citrix servers zien geen goede zet om dit zo te benoemen.
Netscaler ADC is toch ook als hardware platform verkrijgbaar ipv. alleen als een appliance?
https://www.citrix.com/nl...citrix-adc/platforms.html
Dus een hardware appliance. (MPX is hardware, VPX virtueel)
Grappig, voor mij is appliance fysiek, tenzij men het over een virtual appliance heeft :P

Maar Netscaler is leverbaar als beiden.
Omdat een Netscaler(ADC) geen Citrix server is, maar een loadbalancer/reverse proxy/VPN oplossing.
Ja, maar hij is toch van het bedrijf Citrix? Klopt! Maar die hebben een boel verschillende producten, en met "Citrix server" wordt gewoon een ander product bedoeld.

Er ontstaat een boel verwarring door het verkeerd gebruiken van product namen.

In de Citrix servers zelf zit geen exploit, maar die zijn conceptueel, net als andere terminal servers, b.v. van Microsoft, niet bijzonder geschikt(of bedoeld) om direct aan het internet te hangen.

[Reactie gewijzigd door YoMarK op 22 januari 2020 14:47]

Stoere praat.

Wat wil jij tegen een Zero Day exploit beginnen waarbij je 100% afhankelijk bent (van de kennis en kunde) van je leverancier, èn geen onbeperkt budget hebt?
De fout dat je voor 100% van een ander afhankelijk bent herstellen en voor de volgende keer dus je afhankelijkheid verminderen, en dat kan prima met een klein budget.
Want van jezelf afhankelijk zijn is wel de oplossing? Dit is het hele probleem waarom Linux niet op dezelfde wijze door wilt breken als Windows.

Red Hat Enterprise is niet goedkoper en als je afhankelijkheid bij je eigen organisatie ligt, heb je of heel duur personeel nodig, of je mag alsnog voor veel geld derden in gaan huren als je er zelf niet uit komt.

Als we van DICTU en SSC-ICT gaan verwachten dat ze vrijwel volledig zelfredzaam zijn, mogen die budgetkranen wel erg ver opengedraait worden, die kloten nu te vaak maar wat aan vanwege het gebrek aan beschikbaar budget. Met de huidige budgetten en salarissen hark je niet even een volledig eigen ontwikkelteam naar binnen, laat staan de support. Er is nu al een tekort aan Linux guru's.

Het is een utopie om dat te kunnen, je vergist je er enorm in hoe ontzettend kostbaar het allemaal is. Waar de afhankelijkheid geminderd kan worden, gebeurd dit zeker. Niet voor niets dat Capgemini en Ordina er bv bij een aantal rijksdiensten uitgeknikkerd zijn de afgelopen jaren.
Als je een product koopt ben je per definitie 100% afhankelijk van een leverancier. En als dat product een kwetsbaarheid heeft meestal ook afhankelijk om het door hun te laten oplossen.
Wat je voorsteld is alles zelf te gaan maken, wat onmogelijk is en ook niet per definitie veiliger.

Als je bv windows aanschaft ben je 100% afhankelijk van ms om de kwetsbaarheden daar in op te lossen.
Dat is gewoon niet anders. Je kan dan moeilijk zomaar ff overschakelen op een ander eco systeem. Dan had je dit al voor de hand moeten hebben (dual boots op linux ofzo) en ondersteunen. Dat is dan een gigantische kosten post.

[Reactie gewijzigd door jozuf op 22 januari 2020 15:45]

De fout dat je voor 100% van een ander afhankelijk bent herstellen en voor de volgende keer dus je afhankelijkheid verminderen, en dat kan prima met een klein budget.
Zelfs onderzoek doen naar een alternatief, zodat de afhankelijkheid minder is, kost FTE.
En dan hebben we het nog niet eens over implementatie, migratie en omscholing gehad.
Jammer dat de basis van deze server nu net linux is..
Blijft een stukje software wat gewoon lek kan zijn...
VPN is ook niet altijd een oplossing... begrijp me niet verkeerd.. Ik ben nog steeds van menig dat je liever een linux server aan het internet hebt hangen dan een windows server maar dit ligt dan ook wel vaak aan hoe capabel de beheerder is.
Netscaler = FreeBSD zelfs.
Nee hoor, een Netscaler kan juist heel goed ingezet worden als reverse proxy of loadbalancer can websites e.d.
Een Netscaler(ADC) is een VPN oplossing.
Hoeveel niet Windows gerelateerde lekken zijn er onderhand wel niet gevonden in bv. Apache, PHP, Wordpress of PHPBB (en nog legio andere niet Windows gerelateerde meuk)? Veel, heel veel! Daarnaast is de Citrix ADC (Netscaler) niet Windows gerelateerd zooi, het draait al geen Windows en is niet specifiek voor Windows. Het is puur omdat Windows het primaire OS bij bedrijven is dat deze vaak in combinatie wordt gebruikt.

Kijk bv. voor een aantal grote Linux issues over de jaren heen:
https://resources.whiteso...ux-kernel-vulnerabilities

Het is niet zo omdat niemand een lek heeft gevonden dat er geen lek is. Hoe vaker software wordt gebruikt hoe populairder het is onder de beveiligingsonderzoekers en de hackers. Daarnaast zijn er ook lekken die nog niet openbaar zijn gemaakt omdat de personen/organisaties die ze hebben gevonden, ze zelf (mis)bruiken.

Daarnaast is 'veiligheid' geen ja of nee propositie, je kan als bedrijf velen malen je jaar omzet er insteken en nog steeds niet compleet veilig zijn. Data is alleen veilig als niemand er (ooit) bij kan, dat maakt die data echter niet bruikbaar in een bedrijf. Het is altijd een afweging tussen (perceived) veiligheid, kosten en gebruikersvriendelijkheid. En veel bedrijven willen prima investeren in veiligheidsmiddelen, maar die zijn (zoals je hier ook ziet) niet altijd even veilig en het is koffiedik kijken welke dat wel/niet is in de toekomst. Daarnaast is IT ook niet altijd even capabel met het communiceren van wat ze nodig hebben zonder terug te vallen op een technisch verhaal (laat staan dat ze de impact op een niet IT wijze kunnen overbrengen)...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True