Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Experts: Citrix-kwetsbaarheid wordt actief misbruikt voor ransomware-infecties

Bedrijven die hun Citrix-software nog niet up-to-date hebben lopen het risico door ransomware te worden getroffen. Beveiligingsexperts waarschuwen dat dat in de praktijk al gebeurt. Ransomwareverspreiders proberen kwetsbare servers actief te infecteren.

Criminelen zouden de Sodinokibi-ransomware verspreiden bij verschillende bedrijven. Sodinokibi, ook wel de REvil-ransomware genoemd, is afkomstig van een notoire ransomwarebende. Het gaat om dezelfde ransomware die vorige maand geldwisselkantoor Travelex infecteerde, al ging het daarbij waarschijnlijk om een kwetsbaarheid in de Pulse Secure-vpn-server en niet om Citrix. Inmiddels zouden de criminelen echter actief speuren naar servers waar de Citrix Application Delivery Controller en de Citrix Gateway op draaien die nog niet gepatcht zijn, zeggen verschillende veiligheidsexperts. Eén van de bedrijven die zou zijn getroffen door ransomware is Gedia, een Duits bedrijf dat auto-onderdelen maakt.

De aanvallers zoeken specifiek naar servers waarop de Citrix-software draait. Criminelen zoeken al sinds de kwetsbaarheid bekend werd naar servers waar die op staat, maar grootschalige aanvallen bleven tot nu toe uit. Nadat de aanvallers zijn binnengedrongen in het netwerk gebruiken zij andere kwetsbaarheden in bijvoorbeeld Windows om de ransomware echt in te zetten, zeggen de onderzoekers. Inmiddels zijn er al wel patches beschikbaar voor alle versies van de ADC en Gateway, maar nog lang niet alle systeembeheerders hebben die geïnstalleerd. Nadat de kwetsbaarheid in Citrix-systemen in december openbaar werd bleken honderden Nederlandse bedrijven die te draaien. Veel bedrijven, maar ook overheden, besloten die servers uit te schakelen uit voorzorg. Volgens andere experts zouden er wereldwijd nog zeker 11.000 kwetsbare servers op internet zijn aangesloten.

Door Tijs Hofmans

Redacteur privacy & security

24-01-2020 • 17:56

96 Linkedin

Reacties (96)

Wijzig sortering
Wat me een beetje verbaast is dat blijkbaar iedereen vanaf elk IP adres bij zo'n server kan komen. Is dat niet drastisch te verminderen door veel meer met whitelists te werken zodat alleen contacten vanaf geautoriseerde IP adressen worden geaccepteerd en de rest er domweg niet bij kan?

Zo heel moeilijk moet dat toch niet zijn lijkt me.
Leuk, maar ga jij van iedere medewerker het dynamische IP adres van hun thuis internet er in zetten?
Laat staat de medewerkers die de hele dag onderweg zijn en via een hotspot aanmelden. Ik wens je veel succes 😉
Bij mijn provider is het ip-adres al lang niet meer gewijzigd. Maar ook als dat wel zo zou zijn, is dat best op te lossen.
Ik vind het een van de beste oplossingen die ik langs heb zien komen.
Voor jouw toepassing met beperkt aantal thuiswerkers vanaf vaste lokaties (thuis internet via vaste lijn als xDSL, Docsis of glas). Maar een organisatie met veel collegas die wereldwijd rondreizen en/of partners/leveranciers/klanten uit alle landen vd wereld is het niet (eenvoudig) te doen. En een volwaardige vpn met 2fa en tokens gaat prima als de remote gebruikers laptops gebruiken die uiteindelijk beheerd worden door de eigen IT organisatie is een VPN die volledige toegang geeft tot bedrijfsnetwerk ideaal.
Maar als je toegang wil bieden aan ^externe gebruikers" die eigen laptops hebben en wellicht niet voldoen aan de normale eisen (virus-scanners, firewalls etc) dan wil je die niet in je netwerk hebben; dus die geef je enkel specifieke applicaties die niet op de remote laptop draaien maar veilig op je eigen infrastructuur.
Tuurlijk kan je dat ook enkel via een aparte vpn omgeving aanbieden maar dat kan weer ten koste van gebruikers gemak gaan (externe gebruikers bij zakelijke relaties mogen wellicht niet zomaar jouw gewenste vpn client instaleren en/of jouw soft-token app etc.
En dan zou een direct benaderbare Citrix omgeving een prima keuze kunnen zijn omdat die juist daarvoor bedoeld is... en als iemand met enig gezond verstand naar de setup van Netscaler/ADC had gekeken was er ook niet zoveel aan de hand.
Maar de implementatie van de server (vermoed dat t als een soort appliance wordt aangeboden waarbij je niet zelf de OS en Apache zelf moet instaleren) was ronduit knullig wat mogelijkerwijs net aanvaardbaar zou zijn voor een interne POC, maar zeker niet geschikt voor een productie omgeving.
Een van de (te misbruiken) scripts die eigenlijk alleen user-specifieke xml bookmark files zou mogen creeeren deed geen enkele check op de input, en de extreem beperkte check op 'foute input' van parameters via de 'crafted url' was "commented out" (kan er geen fatsoenlijke Nl term voor bedenken).
Overigens zou het inclusief de input check nog net zo lek zijn geweest: maar het idee alleen al dat een check op parameters (die je opgeeft via url content) inactief staat via #'s in een produktie systeem is niet een begrijpelijke fout als dat al diverse jaren het geval is.
Ik denk dat tijdens de initiele ontwikkeling iemand de Apache server zo 'open mogelijk' heeft opgezet en vervolgens een stel ondersteunende scripts heeft gemaakt die de functies boden die andere software obtwikkelaars nodig hadden om de system management software te kunnen ontwikkelen en toen die code gereed was en het eigenlijk tijd was om het geheel op een nette manier op te zetten om er een commerciele appliance van te maken heeft een (sales of marketing) manager ervoor gekozen om het ontwikkel platform "as is" uit te gaan leveren en mogelijk was de stagiair die het OS + Apache server van de ontwikkel omgeving had opgezet inmiddels weer vertrokken of had een nieuwe baan.
En als de commerciele jongens vervolgens moeten kiezen of ze iemand tijd moeten laten besteden voor een "opruim en optimalisatie-slag" terwijl het systeem perfect lijkt te werken dan weet je wel wat de uitkomdt is.
Als er binnen Citrix nav dit incident geen koppen rollen dan houd ik mn hart vast voor de toekomst. Men zou eens wat minder druk op *time 2 market* moeten leggen en wat meer op quality control.
Vooral voor een produkt wat zozeer tegen security produkten aanschuurt zou men eigenlijk een "buitenstaander" (een collega die NIET betrokken is bij de eigenlijke ontwerp en ontwikkeling) met een kam door de diverse componenten en code moeten laten gaan en die persoon(en) op basis van zijn vindingen vragen laten stellen aan de ontwikkelaars.
Dus vragen stellen als: waarom kies je voor Apache webserver? Heb je een (1) enkele vaste routine om input te valideren? Kan/mag een eindgebruiker zelf klooien met de systeem-scripts? Staat alles op read-only waar dat mogelijk is? Wat kan er fout gaan als iemand shell access heeft? Is het mogelijk om standaard os tools uit te zetten en/of te beperken? Etc etc.
Zo'n actie kost tijd en geld; maar vertrouwen winnen en opbouwen in de 'security wereld' gaat langzaam. Vertrouwen kwijtraken is veel eenvoudiger...
Zo ontzettend moeilijk hoeft dat niet te zijn hoor, dit vergt een beetje kennis en creativiteit. Feit is dat er veel bedrijven zijn die best met IP-restricties kunnen werken, dit is gewoon veel veiliger en ook de kleine investering die daar mee gemoeid is waard.

Grote bedrijven hebben doorgaans ook veel meer budget. Ik werk bijvoorbeeld voor een grote farmaceut en heb hier een aparte laptop staan voor de 1 a 2x per 3 maanden dat ik aanmeld..
Ja één laptop aanschaffen om dan maar af en toe te gebruiken lijkt natuurlijk een weelderige investering, maar het aantal keer dat je het gebruikt zegt niets. Het gaat erom wat er op het spel staat en wat het oplevert. Als er iets van laten we zeggen een ton overduidelijk beter door beschermd kan worden ...

Soms lijkt het allemaal verspilling. Maar sowieso kost dat soort materiaal (laptops) al niets in vergelijking met wat een medewerker kost...
En hoe zou je dat doen met mobiele gebruikers? Dit is geen oplossing, dit is een extra beheerslast die niet te beheren is zonder dat gebruikers er last van hebben
Je kunt ook gewoon hele IP blokken uitsluiten. Als je bijv. alleen remote werkers in Nederland hebt kun je alles daarbuiten blokkeren. Dat scheelt flink. En evt. ook alle IP's van VPN providers als je die zelf niet gebruikt. Hoeveel van deze aanvallen komen uit het buitenland? Er is véél meer buitenland dan binnenland.
Je kunt niet blindelings op GeoIP databases vertrouwen. Zo kwam ik, toen ik bij Vodafone Thuis zat, maandenlang volgens meerdere GeoIP databases uit Djibouti, omdat Vodafone IP-blokken van dat land had overgekocht.

Ik kan mij haast niet voorstellen dat het nu tot het verleden behoort, terwijl IPv4 adressen bijna op zijn. ;)

Dus blokkeren op basis van IP-adres is wat dat betreft niet helemaal een perfect middel. Natuurlijk, kan een uitzondering voor worden gemaakt, maar blijf je dan uitzondering op uitzondering opstapelen? ;)
Er is véél meer buitenland dan binnenland.
Theoretisch kan een buitenlandse aanvaller natuurlijk wel opeens een NL IP hebben door bijvoorbeeld een NL proxy of VPN te gebruiken. Je kunt dan wel zeggen om die te blokkeren, maar dat zijn er teveel om te blokkeren, dat is onbegonnen werk in hoeveelheid, maar ook mutaties die je gaat moeten uitvoeren omdat je uitzonderingen moet aanmaken.

Hoewel een dergelijke oplossing redelijk simpel lijkt, is het wel ontzettend bewerkelijk, dat wil je als IT-beheerder ook niet.

[Reactie gewijzigd door CH4OS op 24 januari 2020 19:19]

Heeft de telecom weinig moeite mee, die natten toch alles, maar wij (ook overheid) hadden er geen last van, ons onderdeel heeft hardware tokens voor de Citrix laag. Het verbaast ons dan ook hoe knullig het er op sommige afdelingen aan toe gaat :-)
Niet elke gemeente heeft de middelen om een Citrix omgeving super professioneel op te zetten met MFA erbij, het is duur spul, terwijl gemeenten wel dingen als thuiswerken zo'n beetje moeten faciliteren etc. ;)

De grotere gemeenten hebben daar minder last van dan de kleinere, die hebben immers ook meer te besteden. Idem voor de bedrijven.
Citrix heeft hiervoor de IP Reputation functie op de Citrix ADC.
Elke 5 Minuten worden bekende slechte IP adressen geupdate en geblokkeerd. Denk hierbij ook aan VPN diensten.

Maar deze optie maakt deel uit van de Web Application Firewall licentie (ADC Premium) en de meeste klanten vinden deze duurdere licentie onzinnig.
Klanten die de Web Application Firewall voor op hun Citrix ADC hadden geconfigureerd waren toch al niet vulnerable voor dit lek.
Behalve de uitleg over Vodafone die Djibouti IPs had gekocht (gaat niet helemaal op die manier omdat je ip blokken niet kan kopen, maar uitkomst is wel practisch hetzelfde) ben ik het helemaal met je eens.
En als de ITbeheerder wel de tijd heeft om whie- & blacklists aan te maken en te onderhouden kan hij vast ook wel de patches installeren. En ook zou t niet echt handig zijn als je w&b-lists moet bijhouden: het hele produkt is er juist voor om collegas eo partners op een veilige manier toegang te geven tot vertrouwelijke resources zonder dat je je zorgen zou moeten maken over zaken als vpns etc: netscaler zou juist al die sores wegnemen en iedereen toegang bieden tot alle info - regardless waar ze vandaan komen (qua netwerk); en dat lukte perfect... alleen gaven ze ook alle andere mensen in de wereld (incl scriptkiddies) toegang tot de interne systemen.
Ach, je kan niet alles hebben |:( 8)7 :(

Edit: typo

[Reactie gewijzigd door tonkie_67 op 24 januari 2020 21:51]

Alsnog een stuk minder bewerkelijk dan whitelisten. Maak gewoon een stagair vrij om adressen of blokken uit de blacklist te halen aan de hand van supportcalls. Als je het goed gedaan hebt, kost dat niet heel veel werk.

Of je prakt alles achter een VPN of tunnel met losstaande software en credentials.

[Reactie gewijzigd door mae-t.net op 24 januari 2020 20:09]

Uhu want die stagiair heeft verder geen opdracht waar ie aan moet werken ofzo. 8)7

Een stagiair is geen slaaf he. Die kan ook gewoon zeggen ja doei regel je spul gewoon.
Als je er niet doorheen komt door zo'n blokkade dat is dat simpel op te lossen. Er zijn hopen websites die je je IP adres vertellen. Zo makkelijk is het om dat te achterhalen. Dan stuur je een mailtje vanaf een geverifieerd e-mailadres naar je bedrijf dat vertelt achter welk IP adres je zit en dat wordt dan gewhitelist. Eventueel met two-factor authenticatie via een SMSje als extra beveiliging. Als de systematiek daarvoor eenmaal is opgezet kan dat heel vlot gaan en (bijna) geautomatiseerd worden.

Een combinatie van white- en blacklists én zo'n procedure kan heel veel IP adressen uitsluiten en daarmee de risico's drastisch verminderen.
Dat het ip adres achterhalen simpel is, is mij bekend. Ik zou alleen wel zorgen dat er validatie is (die is links- of rechtsom altijd nodig) anders kan iedereen een ip adres whitelisten en is de ingreep enkel een rookgordijn, of kleine horde.
Maar omdat er veel meer buitenland zijn er dus ook heel veel mensen die in het buitenland toegang moeten hebben. Zeker bij Nederlandse bedrijven die erg internationaal georienteerd zijn. Pak een willekeurig vliegveld of zakenhotel in Europa en je ziet relatief veel Nederlanders die voor het werk op pad zijn.
Misschien even het boek lezen "het is oorlog en niemand die het ziet" lezen van Huib Modderkolk.
Dan zal je versteld staan hoeveel aanvallen er vanuit Nederland komen door onze (Nederlandse) infrastructuur.
Ik zag dat hij ook op een Tweakers bijeenkomst had gesproken: https://www.youtube.com/watch?v=jbOnBE6Coz0
Meh. Als ik door het centrum van ons dorp (nabij Groningen) rij denkt Google Maps altijd dat ik even naar Indonesië ben geweest en weer terug. Ziet er altijd grappig uit in de Maps historie.

Dus om dáár nou op te vertrouwen...
Dat jij dat hebt, betekend natuurlijk niet dat iedereen dat ook heeft. Er zijn zat mensen die wel een dynamisch IP adress hebt, of mensen die vaak overal in het land zitten en toch ook op werk willen inloggen.
Tuurlijk, bedoelde alleen aan te geven dat een dynamisch ip op een consumentenlijn in de praktijk niet heel erg dynamisch hoeft te zijn.
Maar daar kan je alleen wat mee als je thuis werkt. Als je ook bij klanten of op andere locaties werkt het je al een ander IP adres.
Ik heb dat zo op mijn voip systeem.

Met dyndns stel ik een domein in bijv onderweg.dyndns.org.
Op mijn tel draait een app die het ip adres update
De voip server checkt de lijst ieder 3 minuten.
Ik kan dan gewoon vanaf een ander ip adres op de server komen.

Natuurlijk in een groter verband zou ook dit systeem te hacken zijn als men de controle weet te krijgen over de tel van de gebruiker. Het maakt het wel moeilijker.

Alternatief kan een externe gebruiker ook ook eerst contact maken dan met 2 stap controle via de server het nieuwe ip adres laten controleren en dan pas met citrix toegang krijgen van dat ip adres.
Ook dat zal te hacken zijn als het moet via de gebruiker maar het maakt het allemaal een stuk moeilijker.

Voor mijn voip server heb ik als alternatief nog portknocker. Moet dan achter elkaar 3 poorten benaderen en sesam open u voor dat ip. Dat is dan max 1 uur open.
Je zou wel een barrière kunnen opwerpen voor verdachte op adressen. Wat eigenlijk ook al in gebruik is voor mail servers.

En blokkeren van op adressen van diverse landen waar je sowieso geen medewerkers heb zitten en geen zaken mee doen.

Het is niet 100% waterdicht. Maar je blokeer wel een groot aantal onbetrouwbare op adressen.
Bij XS4ALL krijg je een vast IP adres, kost relatief een tikkie meer dan gemiddeld en je timmert het geweldig dicht. Is bij Ziggo ook mogelijk met een zakelijk pakket. Dat kost net wat meer per maand, maar je krijgt er wat voor terug ...
En jij denkt dat de standaard huis, tuin en keuken gebruiker een zakelijk abonnement afneemt voor een statisch IP adres?
Ja, dream on bij een overheid.
Als je een solide VPN constructie hebt, je sleutelbeheer op orde hebt, patches en dat soort zaken op tijd uitrolt. De CVE lijst in het oog houdt, geabonneerd bent op wat ter zake doende mailinglijsten, kortom, je beheer op orde is, dan is dat ook niet nodig. Een huisgenoot (geen ICT'er) hier heeft de afgelopen maanden bij een gemeente gezeten. Als ik hoor hoe het Citrix circus volledig aan ze voorbij gegaan is, is dat diep en diep droevig. ICT is daar een echt sluitpost op de begroting. Dus ja, ik herken je "dream on". En dat zal niet vanzelf veranderen vrees ik als daar niemand wat van zegt en iedereen dat maar accepteert.
Dit is precies waar een VPN voor bedoeld is.
Dat is precies waar deze software voor bedoeld is.
En zoals elke software kan er een lek in zitten, dat is nooit uit te sluiten, dus zo ook in VPN software. Perfecte software moet nog gemaakt worden. En zolang er nog meer tijdsdruk op komt zoals tegenwoordig neemt het risico op een foutje toe.
Bedenk ook dat fouten ook afhankelijk kunnen zijn van externe factoren, dat is nooit helemaal uit te sluiten. Software draait ook ergens op.
Is het niet een kernel van iets, dan is het wel hardware. Overal kan iets in voorkomen wat effect geeft op jouw software.

Het gebruik van het een sluit het ander niet uit.

Kortom, alleen met de opmerking, daar is VPN voor bedoeld kom je er niet.
Citrix is geen VPN software.
Citrix is een bedrijf met heel veel producten. Het product waar het de laatste paar weken over gaat is wel degelijk een VPN endpoint: Het verzorgt (o.a., want het kan veel meer) de SSL VPN voor de thuiswerkplek.

Ook de overige functionaliteiten van het apparaat zijn specifiek bedoeld om rechtstreeks aan het internet te hangen en ironisch genoeg bedoeld om de achterliggende infra te beschermen terwijl het wel bereikbaar is/ Net als een klassieke VPN, maar dan zonder de nadelen.

Ik ga niet alle patiënten van het MCL een VPN client geven en uitleggen dat ze die moeten installeren voordat ze naar het patiëntenportaal kunnen :)
Zo'n NetScaler wel een beetje eigenlijk.
Via 1 eindpunt (de NetScaler) krijg je toegang tot de interne Citrix XenApp systemen.

Veel mensen vergeten dat deze Citrix oplossingen ook veel gebruikt worden bij hosted software solutions.
Bijvoorbeeld bepaalde Boekhoud of PayRoll pakketten in de Cloud, die niet webbased zijn maar dus published Apps via Citrix. De klanten gebruiken die oplossingen misschien ook vanuit het buitenland.
De Netscaler is dat functioneel gezien wel. Die was lek.
Citrix ADC heeft gewoon een SSL VPN, namelijk de Citrix Gateway.
Nee maar het is beter beveiligd dan wanneer je poort 3389 van buitenaf opengooit.
Helemaal met je eens dat deze software bedoeld was om toegang vanaf internet te geven (maak zelf verderop zelfde comment) en ook eens dat overal fouten in kunnen zitten. Maar als je kijkt hoe knullig de fouten in Netscaler/ADC waren dan valt dat imho niet onder het 'kan altijd/overal gebeuren'.
De fouten in de setup van de webserver (niet alleen de Apache config file maar opzet van de hele server qua rechten en ownership can/op directories lijkt het alsof eea ooit is opgezet als interne quick&dirty POC en vervolgens heeft niemand meer gekeken naar de setup. Ben beslist geen server deployment specialist (zit zelf meer in de netwerk hardware kant) maar ik had eea beter (minder onveilig) opgezet... echt broddelwerk van Citrix/Netscaler...
Eens met je. Kijk de kwaliteit en inrichting kan je over discussiëren.

Maar loze opmerkingen zoals, daar moet je VPN voor gebruiken slaan nergens op, want netscaleris een product met dezelfde toepassing.

Misschien is dat nog wel gevaarlijker. "ik heb VPN, dus ik ben veilig".
Ook in dat soort toepassingen kunnen flinke configuratiefouten worden gemaakt. Of gebruikers verzinnen wel weer een omweg.

Ik ken ook situaties als dat je alleen met VPN en 2FA kan inloggen naar je werkplek.
Gaan sommige gebruikers gewoonweg teamviewer gebruiken, want dat is simpeler.
Nou kan je het wel blokkeren, komt er wel een andere tool. Komt nog bij dat het gebruikt wordt voor klanten support.
Gaat het zelfs om techneuten met "kennis".

(geen flame, slechts verduidelijking)
Juist, de Citrix ADC en dan specifiek het Netscaler component. Dat is een SSL VPN om je Citrix infrastructuur (of andere infrastructuur) "veilig" aan te bieden op het Internet.
Thuiswerken word onmogelijk dan. Vele providers bieden geen vast ip adres aan consumenten.

De think clients op kantoor zijn wel makkelijk te whitelisten
Jawel hoor. Het kost alleen iets meer per maand. XS4ALL op KPN infra levert vaste IP adressen, Ziggo levert ook vaste IP adressen op hun Pro abonnement, dat begint met 70 euro per maand voor 60/10Mb en loopt op tot 120 euro voor 1000/50Mb. XS4ALL loopt van 46 euro tot 68,50 euro. Alleen ben je afhankelijk van wat er op jouw adres mogelijk is. Laat je baas minstens de helft meebetalen en klaar is Klara.

Verbazend dat hey hoogste en duurste Pro abonnement bij Ziggo maar 50Mb upload kent, dat is echt zwaar onder de maat. Maar dat slechts geheel ter zijde ... Bottom line: Een vast IP adres is voor iedereen haalbaar en kost helaas wat extra knaken per maand. Veiligheid heeft een prijs. Niks voor niks.
Als je je router niet een week uit zet heb je ook gewoon hetzelfde ip adres, geen enkel probleem. Echt geen noodzaak voor een zakelijk/pro abonnement.
Nou, Nog sterker. Ik klooi nogal eens aan met verbindingen.
Kan nu zo zeggen dat je bij een bepaald mac adress dat ip krijgt op die verbinding.
Duhh touwens. Maar als ik daarna, dat andere/voorgaan de mac adress pak. Dan is die niet uit de lease op die verbinding. Zelfs niet naar 30 dagen zie ik nu trouwens..

[Reactie gewijzigd door Core2016 op 26 januari 2020 01:24]

Yep: maar is enkel een oplossing voor thuiswerken.
Niet voor mobiele gebruikers en nog minder voor externe partners.
Thuiswerkers zullen in de meeste gevallen een laptop vd zaak gebruiken die beheerd wordt door de eigen it club vd baas. In dat geval zou een vpn client en een (soft) token app voor 2fa vrij eenvoudig te implementeren moeten zijn.
Maar als je (beperkt) toegang moet geven aan mecewerkers van partners (leveranciers, doorverkopers, klanten, conculega bedrijven etc) dan kunnen er obstakels zijn om hen jouw vpn client of token-app op die systemen te zetten en dan zou een volledige Citrix omgeving die direct aan internet hangt wel logisch zijn.
Maar of de beheeromgeving van Netscaler dan ook stamdaard vanaf elk ip adres open moet staan is natuurlijk een ander verhaal.
Zie ook mn ellenlange reactie hierboven 8)7
Maar die providers hebben wel allemaal blokken gekocht.
Officieel zijn internet adressen helemaal niet te koop... (al zou je dat niet zeggen). Providers kopen andere bedrijven die bepaalde blokken in gebruik hebben en kunben vervolgens de aan die (oude) bedrijven toegekende blokken blijven gebruiken.
Eigenlijk zouden de RIRs als RIPE, ARIN, Afrinic etc etc streng moeten kijken naar sommige organisaties en het gebruik van hun historisch toegewezen blokken.
Weet niet hoe t nu is maar in ieder geval nog in 2011 had HPE (toen nog HP) een stel class A netwerken die ze enkel binnen eigen LAN gebruikten en als die interne machines het openbare netwerk op gingen werd er gewoon gebruik gemaajt van NAT op dezelfde manier alsof ze private ip reeksen gebruikten. Destijds hadden ze eenvoudig tenminste 3 x een /8 kunnen "un-allocaten" en van HP(E) eisen dat ze intern overschakelen op 10.x blokken.
Mijn huidige werkgever sinds 2011 (Dell) gebruikt wel braaf interne ip's voor intern gebruik (10/8; diverse 172/16 en 192.168/24 blokken voor geisoleerde lab netwerken. Zouden tokos als HPE, IBM/Lenovo en anderen een voorbeeld aan moeten nemen.
Dus je wilt het halve internet gaan whitelisten? Dan kun je beter (geografische) blacklists gebruiken.

Of gewoon alleen via een VPN of tunnel laten inloggen.
Geographische blacklists werken ook niet. Dan kan je als je op pad bent niet bij een klant of vanuit je hotel werken.
Klopt, daar zul je een VPN of een tunnel voor moeten gebruiken.

Of een goede helpdeskinfra om uitzonderingen op blacklists te maken.
Das juist het hele idee van t produkt: je gebruikt het om iedereen (met rechten) kan inloggen vanaf elke plek ter wereld als toegang hebt tot internet.
Zonder alle sores van vpn's of ip filtering kan je persoonlijk afgestemde applicaties (&data) op een veilige manier aanbieden via het open internet

En dat ging ook prima behalve dan dat je ook iedereen zonder de juiste rechten toegang gaf tot je bedrijfsnetwerk.
Ach.. je kan niet alles hebben 8)7 |:( 8)7 :X
Bij whitelists gaan end-users alleen maar klagen. Ook kunnen hackers op populaire sites zoals Facebook/BBC/CNN advertentie ruimte kopen die gewoon een crosssite script bevat waardoor ook de whitelist approach niet meer werkt.
Openbare IP-adressen worden daarom gewoon meer en meer een probleem. Er zijn databases op internet van engines die continue het hele internet afscannen en alle onbeschermde sites/IP-nummers bloot leggen (met netjes erbij welk CVE er niet ge-update is en of welk outdated SSL/TLS certificate wordt gebruikt). Oftewel de ideale ingang voor de hacker.

De enige oplossing voor dit probleem is om naar zero trust access te kijken waarbij de cliënt en server geen inkomend verkeer accepteert en alleen alleen maar een outbound connection opzet naar 1 zero trust server. En die vervolgens alles aan elkaar knoopt met encrypted verbindingen. Vervolgens kunnen alle inbound firewalls gewoon dicht worden gezet waardoor het attack surface van de cliënts en servers 0 is. Want het IP-adres is niet bekend op het internet en incoming traffic wordt niet geaccepteerd.
Wellicht te simpel gedacht van mij hoor, maar is er geen mogelijkheid dat een Firewall een dynamische ACL heeft/gebruikt ? Om in te loggen op een omgeving moet ik ten eerste gebruik maken van MFA tijdens het eerste inlogscherm, vervolgens wordt in dit proces het publiek adres van deze gebruiker gewhitelist totdat deze is uitgelogd of maximaal 12 uur waarna het IP adres weer wordt verwijderd uit de ACL.

Maar zoals ik zeg, wellicht denk ik nu te simpel...
Nee, je denkt te moeilijk. Wat jij beschrijft is ook niet echt veilig. Wat je eigenlijk wilt is alleen vertrouwde clients toelaten op je bedrijfs netwerk. Laat daar nu net al een prima oplossing voor bestaan: een VPN.

Dit is nu exact waar een VPN voor bedoeld is (itt tot de onzinnige toepassing waar veel mensen het voor gebruiken).
Technisch klopt dat niet!
Een Citrix Netscaler doet exact wat een VPN via een firewall ook doet:
Je toegang verschaffen tot een netwerk :)

Beiden zijn de gateway, beiden kunnen met een username en password toegang geven,
Beiden kunnen toegang geven met 2factor authenticatie,
Beiden staan in de DMZ als scheiding tussen internet en het interne netwerk.

Waar ik je wel gelijk in moet geven is dat je een netscaler het beste achter een firewall kunt plaatsen.
(Zie onder)
Echter als 443 in je firewall naar je Netscaler open staat, heb je daar ook geen reet meer aan: je firewall laat het hackverkeer doodleuk door :P

Externe toegang kan in beide gevallen via een whitelist.
Maar voor clients is het juist handig om die niet te gebruiken: zo kun je thuiswerkers en collega's die onderweg bij de McD, of op congres zijn in het buitenland, in ieder geval toegang geven tot je netwerk.

Waar ik wel vóór ben is om netscalers achter de firewall te plaatsen.
Die hebben in de praktijk minder kwetsbaarheden, aangezien ze meestal op een lager nivo opereren (laag 3), ipv laag 4-7, wat Netscalers en b.v. F5's doen.
Ivm. de hogere complexiteit van Netscalers (vermoed ik) dat ze daarom vatbaarder zijn dan firewalls.

Als extra voordeel:
Firewalls hebben vaak Geografische filters.
Dat voordeel zou ik bij deze setup niet gebruiken, maar wel block 'known bad source addresses'.
Alleen hebben ze dat wel?
De meeste firewall vendors hebben een subscription voor het bijhouden van de diverse webfilters (url filters met niet alleen b.v. Block Facebook, maar ook een keuze uit de tientallen subdiensten die ze leveren.
Of url categorieën als business, sex, banking, etc.
Maar dat geldt voor outbound verkeer en dit alles is ook weer geleerd van de firewalls die bij hun eigen klanten staan c.q. terugkoppelingen van gebruikers ervan:)

Gek genoeg kom je bad sources dan weer niet tegen.
Volgens mij zit dat niet in Cisco, Checkpoint, Fortigates of bv. Palo Alto om maar een paar grote te noemen
Tip voor hun ontwikkel afdeling?

[Reactie gewijzigd door GMJansen op 24 januari 2020 23:30]

Totdat er een lek in jouw VPN software zit die iets meer binnen laat dan jij hebt ingesteld.
Daarom vertrouw je niet op alleen de VPN maar beveilig je de individuele services ook. Je Citrix server direct aan het internet hangen is niet zo slim.
Wat noem je "je Citrix server"? Citrix heeft heel veel producten, en de Netscaler / ADC waar het hier steeds over gaat direct aan het internet hangen is nu juist extreem slim, want dat is precies waar het ding voor gemaakt is :)

Ik vind het erg jammer dat de media het steeds "Citrix server" noemen, want de meeste mensen die überhaupt ooit van Citrix gehoord hebben denken daarbij dus aan XenApp / XenDesktop, en daar gaat het dus helemaal niet over. Bonus-verwarring omdat de één van de USP's van de Netscaler / ADC het ontsluiten van XenDesktop / XenApp is, waardoor het dus steeds over thuiswerken gaat, en men dus gesterkt wordt in de overtuiging dat al die bedrijven die nu in het nieuws komen hun VDI / SBC-omgeving rechtstreeks aan het internet hebben hangen.
Daar is nou juist de Netscaler en de Storefront en zo voor: om ze aan internet te hangen.
Je hebt altijd een endpoint die internet faced is, dat jij in moet loggen met MFA maakt het niet beschermd tegen dit soort lekken.

Niks wat aan het internet hangt is 100% dicht ook niet de situatie zoals jij hierboven beschrijft.

[Reactie gewijzigd door Zackito op 24 januari 2020 18:42]

Om in te loggen op een omgeving moet ik ten eerste gebruik maken van MFA
De Citrix kwetsbaarheid zette MFA buitenspel. Helaas.
Dat geeft een extra stap om in te loggen met een beperkte functionaliteit. Bijvoorbeeld iemand kan nu via hetzelfde Wifi-access punt ook inloggen. Maar uiteindelijk hangt het af van de implementatie. Je hebt een inlogscherm. Dus waarschijnlijk een HTML-pagina. Die geserveerd door een webserver, wat bijvoorbeeld apache kan zijn. Afhankelijk hoe je de boel implementeert, kan het dus een zelfde soort beveiligingslek kunnen opleveren. Verder zou je de wachtwoorden kunnen controleren met een sql-database. Dus in theorie zou dus een sql-injectie ook problemen kunnen opleveren. Veel oplossingen die genoemd worden, zijn in de iets als een extra component tussen het internet en een falend product zetten. Waarbij aangenomen wordt dat die extra component niet faalt. Als die aanname klopt, dan is het inderdaad een oplossing.
Voor mijn eigen NAS heb ik het aantal inlogpogingen met 99% kunnen reduceren door geographic filtering op IP adressen toe te passen.
Maar dat gaat natuurljik niet werken voor een emultinational waar werknemers over de hele wereld actief kunnen zijn.
Ik begrijp niet zo goed waarom je offtopic/irrelevant krijgt, want Geoblocking of filtering kan wel degelijk toegevoegde waarde bieden, natuurlijk niet als enige bescherming en misschien niet een goede oplossing voor multinationals maar het kan zeker helpen.
Er zijn niet zo heel veel bedrijven meer die alleen nationaal werken. Zeker bedrijven die dit soort oplossing gebruiken niet. Dus het heeft maar een heel beperkt voordeel.
Geoblocking is leuk voor "hackers-die-aan-de-deur-kloppen" , maar voor gerichte aanvallen is Geoblocking natuurlijk een wasseneus.
Dus een toevoeging. Kan het gecombineerd worden met..
Dat was iets waar ik destijds ook aan zat te denken...
Toch heb je er weinig aan..
Tijden terug waarschuwde synology voor een aanval, en had ik daar ook last van.
Die jongens veranderden om de 5 minuten van ip..
Maar als iemand echt bij jouw bedrijf wil inbreken met dit lek dan is het een koud kunstje om een Nederlands IP te bemachtigen.

Om maar iets geks te noemen: een ander bedrijf met een kwetsbaar Citrix appliance dat misbruikt wordt om targets in hetzelfde land te scannen en te exploiten. EN daar sta je dan met je GeoIP block, terwijl de CEO boos aan de lijn hangt omdat hij niet meer kan inloggen op Citrix vanaf zijn congres in Zuid-West Waziristan.
Zijn servers met de mitigerende maatregelen toegepast ook (nog steeds) veilig, of is dit weer wat nieuws wat alleen voorkomen kan worden met de patch die vandaag voor de 12.1 branch is uitgekomen..?
Wat bedoel je met veilig? Of de bescherming werkt is een kant. Maar er is ook nog de situatie dat je waarschijnlijk een tijdje geen bescherming had. En de bescherming van nu is er niet om je te beschermen tegen criminelen die binnen konden komen toen je nog geen bescherming had. Veilig is dus niet alleen updates voor nu en de toekomst installeren.
Veilig voor aanvallen na het doorvoeren van de maatregelen. Dit artikel gaat immers over gerichte aanvallen die nu plaatsvinden.

Dat er een kans bestaat dat er al een hack heeft plaatsgevonden voordat de maatregelen zijn genomen is inderdaad aanwezig.
Zowel de mitigatie als de patch biedt volledige bescherming, hierbij is het voor bepaalde 12.1 builds wel belangrijk dat je de volledige mitigatie doorvoert en niet enkel de responder policy.
Met de nieuwe patches is de mitigatie overbodig.
Bedankt voor de toelichting!
Volgens mij werd misbruik ook opgepikt door de IPS. Virtual patching is ook een optie, maar je moet wel de SSL openbreken op de IPS.
Het is wachten op een eerstvolgende lek wat actief misbruikt gaat worden. We zullen het in de toekomst nog wel vaker tegenkomen.
En dat wordt dan ook weer gedicht. En zo komen stukje bij beetje steeds bij een veiligere omgeving.
Tweakers fijn dat je het beestje bij de naam de noemt want Criminelen is juist toegepast hier.
Het probleem is vooral die derde stap. Dat patchen, dat gebeurd te weinig. Teveel beheerders met te weinig kennis, te weinig aandacht of teveel angst en vaak een combinatie van meerdere dingen. Of, nog erger, geen mandaat van hun higher-ups om de boel veilig en draaiende te houden.
Vergeet corporate arrogantie niet. Ik werk zelf voor een team wat in totaal 2500 werkplekken, servers en netwerk infrastructuur beheerd in 27 locaties verspreid over 22 landen. In totaal zijn er 60k werkplekken.

Ik geef aan dat ik de officiele citrix test tool heb gebruikt om onze citrix omgeving te testen en het blijkt dat ze vulnerable zijn. Dit maandag aangegeven bij het juiste team.

Ik kreeg 2 antwoorden:
1. Hoe ik het in mijn hoofd haalde om die test uit te voeren
2. Ze weten er van en zijn er mee bezig

overigens zijn ze nog steeds niet gepatched, ik verwacht maandag een ransomware uitbraak, kan gezellig worden :'(
Uiterst onprofessioneel van je om in zo'n complexe omgeving zomaar een testje uit te voeren.
Anders doen anderen het wel voor je hoor. Russen, Chinezen en dat soort volk zijn er genoeg die al lang weten of jouw toko vulnerable is of niet.
Ik mis hier een </sarcasme> ???
Ik ook, maar voor het geval het onverhoopt niet sarcastisch bedoeld was: zulke testjes zijn doorgaans ingericht op veilig gebruik in een productie-omgeving en/of worden door de leverancier daar ook voor aanbevolen. Voor het geval er sprake is van uiterste complexiteit, is de beheerder bij uitstek degene die dat overziet.

Als jij als beheerder geen bericht hebt ontvangen van je bovenliggende structuur (hoort ook bij een veiligheidscultuur!), dan doe je terecht wat nodig is om de systemen die onder jou vallen veilig te stellen. Daarbij kan de situatie dringend genoeg zijn om niet eerst de bureaucratie te doorlopen.

Hierbij ga ik ervan uit dat ETH0.1 een lokale of regionale beheerder is. Als hij een gewone gebruiker is, dan is een telefoontje naar de lokale beheerder natuurlijk de aangewezen methode. Eindgebruikers die beheerders proberen te 'helpen' zijn in het beste geval onschadelijk.

[Reactie gewijzigd door mae-t.net op 25 januari 2020 14:36]

In zo'n omgeving is de kans ook nog aanwezig dat jij dan maandag de schuld krijgt, want "niemand anders wist ervan"....
Daarom altijd alles per mail vastleggen. Eigen straatje schoonvegen.
Ken de tool niet maar het is een tool.
Heb je dan niet te veel rechten als je dat aan een ander team moet aangeven en punt 1 ontvangt?

[Reactie gewijzigd door Core2016 op 26 januari 2020 01:32]

Uiteraard heb ik de tool gebruikt vanaf mijn eigen niet werk pc die gewoon aan het internet hangt en geen connectie heeft met het interne netwerk (geen netwerk verbinding maar ook geen rechten of domain account), ofterwijl een test die iedereen kan uitvoeren.

Net nog eens getest en we zijn nog steeds vulnerable...
Het grotere probleem is management en geen downtime willen hebben.
Wanneer je een patch plan hebt met een planning dan is het duidelijk toch, wat heeft management er dan nog mee te maken.

In grote omgevingen is het meestal goed geregeld en geen business case is groot genoeg om uit te stellen. Sterker nog, in een goed patch plan heb je de mogelijkheid om patching naar voren te trekken bij een emergency.

Zelf heb ik sinds deze week, aan de hand van de recente gebeurtenissen voor elkaar gekregen dat basis infra (dc's, netwerk, infra support systemen) zelfs als eerste worden gepatched, dus 4 rondes. Infra Staging, Infra Production, Business Staging, Business Production. Waarbij Infra production binnen 2 dagen na uitkomen patches gepatched is.
Risicoafweging is altijd belangrijk. In dit geval, wanneer actief wordt gezocht door hackers, moet je je productie uitzetten. Iedere klant heeft daar meer begrip voor dan wanneer je te laat bent.
Klopt, je moet overal een risico afweging van maken echter zie je heel vaak dat het risico van IT gevaren onderschat wordt door bedrijven of instanties.
Met genoeg $$ is er geen downtime. IT support wordt altijd als een kost gezien. En kosten moeten omlaag.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True