CISA: kwetsbaarheden in Citrix en vpn's werden sinds 2020 vaakst aangevallen

Kwetsbaarheden in vpn- en thuiswerkdiensten werden in de afgelopen anderhalf jaar het vaakst aangevallen van alle bekende bugs, zeggen verschillende securityautoriteiten van overheden. Het gaat om onder andere bugs in Citrix en in de Pulse- en Fortinet-vpn's.

De data werd vrijgegeven door het Amerikaanse Cybersecurity and Infrastructure Security Agency ofwel CISA, en is afkomstig van verschillende autoriteiten zoals de FBI en de nationale cybersecuritycentra van Australië en het Verenigd Koninkrijk. Het agentschap heeft een lijst opgesteld met de twaalf kwetsbaarheden die sinds begin 2020 het meest werden aangevallen door criminelen.

Het gaat om bugs in onder andere Citrix, waar vorig jaar ook veel Nederlandse bedrijven en overheidsinstellingen last van hadden. Ook twee kwetsbaarheden in vpn-diensten Pulse Secure en Fortigate werden veelvuldig aangevallen. Andere populaire doelwitten waren, naast Windows, kwetsbaarheden in Atlassian en Netlogon.

In de meeste gevallen ging het om ernstige kwetsbaarheden die veel schade konden toebrengen. In acht gevallen ging het om een remote code execution, en in twee gevallen om een local privilege escalation. Ook waren een path traversal mogelijk, en een arbitrary file reading.

De CISA zegt dat criminelen zich sinds het begin van de coronapandemie steeds meer richten op software waarmee van een afstand wordt gewerkt. Volgens de instantie zorgde de crisis ervoor dat er steeds meer druk kwam te liggen op systeembeheerders en -verdedigers om tijdig te kunnen patchen. Doordat criminelen zich nog steeds op bestaande kwetsbaarheden richten, blijft het voor hen makkelijk om systemen aan te vallen, stelt de CISA. "Hun gebruik van bekende kwetsbaarheden maakt attributie moeilijker, verlaagt de kosten en de risico's omdat ze niet hoeven te investeren in het ontwikkelen van zerodayexploits die alleen zij kunnen gebruiken", schrijft de organisatie.

Volgens de instantie zijn nog steeds veel bedrijven kwetsbaar. De lijst is dan ook bedoeld als een waarschuwing. Systeembeheerders zouden die moeten gebruiken om 'de meestvoorkomende kwetsbaarheden te fixen', aldus de CISA.

Citrix CVE-2019-19781 Arbitrary code execution
Pulse Secure CVE-2019-11510 Arbitrary file reading
Fortinet-vpn CVE-2018-13379 Path traversal
F5 Big IP CVE-2020-5902 Remote code execution
MobileIron CVE-2020-15505 Remote code execution
Microsoft Office CVE-2017-11882 Remote code execution
Atlassian CVE-2019-11580 Remote code execution
Drupal CVE-2018-7600 Remote code execution
Telerik CVE-2019-18935 Remote code execution
Microsoft Sharepoint CVE-2019-0604 Remote code execution
Microsoft Windows CVE-2020-0787 Local privilege escalation
Netlogon CVE-2020-1472 Local privilege escalation

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 29-07-2021 08:5717

29-07-2021 • 08:57

17 Linkedin

Lees meer

Fortinet waarschuwt voor actief misbruikte rce-kwetsbaarheid in FortiOS SSL-VPN Nieuws van 13 december 2022
Citrix waarschuwt voor apparaatovernames door gevaarlijk lek in ADC en Gateway Nieuws van 9 november 2022
Fortinet waarschuwt klanten voor ernstig rce-lek in FortiGate-firewalls Nieuws van 8 oktober 2022
End-of-lifedatum van Drupal 7 is een jaar opgeschoven naar 1 november 2023 Nieuws van 24 februari 2022
Investeringsmaatschappijen willen Citrix overnemen voor 16,5 miljard dollar Nieuws van 31 januari 2022
Onderzoeksraad: maak verantwoording over beheersing digitale risico's verplicht Nieuws van 16 december 2021
Gegevens van miljoen QuickFox VPN-klanten waren toegankelijk zonder wachtwoord Nieuws van 19 oktober 2021
Hackers publiceren wachtwoorden voor bijna 500.000 Fortinet-vpn-accounts Nieuws van 9 september 2021
Ernstig lek in F5's BIG-IP-apparatuur maakt remote code execution mogelijk Nieuws van 6 juli 2020
Zeker 39 Nederlandse servers zijn geïnfecteerd via oud Citrix-lek ondanks patch Nieuws van 1 juli 2020
Nederland loopt nog steeds veel kans op digitale ontwrichting Nieuws van 29 juni 2020
Minister wil dezelfde veiligheidseisen voor alle vitale infrastructuur Nieuws van 23 maart 2020
NCTV publiceert Nationaal Crisisplan Digitaal Nieuws van 21 februari 2020
Meer producten en artikelen
Beveiliging en antivirus Citrix Vpn

Reacties (17)

-Moderatie-faq
17
17
8
1
0
9
Wijzig sortering
Steenvoorde
29 juli 2021 09:41
Het valt me op dat de meeste media, en Tweakers dus ook, Citrix noemt als kwetsbaar product. Dit terwijl Citrix de naam van het bedrijf is en de kwetsbaarheid alleen plaatsvindt in de Netscaler/ADC oplossingen. De VDI en shared computing oplossingen zijn de meest gebruikte productien van Citrix, maar die bevatten deze kwetsbaarheid niet. Ik vind dat toch apart, want men spreekt ook niet van een kwetsbaarheid in Microsoft - als Windows 10 bedoeld wordt.
Marve79
@Steenvoorde29 juli 2021 11:08
Inderaad, Citrix is een bedrijf dus lastig om daar een kwetsbaarheid in aan te vallen. Citrix producten was beter geweest.

Lijkt ook een beetje gebruikerstaal, als er iets niets werkt in een Citrix omgeving ligt het 'aan Citrix'.
dycell
@Marve7929 juli 2021 12:04
Dit! Citrix is gewoon een alomvattende naam geworden. Log even in op Citrix en dan ga je naar.... Open Citrix en ga naar... Update even de Citrix client en....

Mensen zeggen ook dat ze dingen Googlen.
Steenvoorde
@dycell29 juli 2021 12:53
Dat klopt inderdaad. Je moet eens weten hoeveel emails ik kreeg van gebruikers in de tijd toen deze kwetsbaarheden ontdekt werden, terwijl wij helemaal geen Netscaler gebruiken. ;) Maar van Tweakers had ik toch wel verwacht dat ze het beestje bij de naam zouden noemen, want dat doen ze bij bovengenoemde Microsoft producten wel.
ErwinPeters
@Steenvoorde29 juli 2021 10:21
Vermoedelijk omdat citrix zijn bedrijfsnaam prominenter op de producten zet dan de productnaam. Ik bedoel dan vooral de client interface.
Steenvoorde
@ErwinPeters29 juli 2021 12:59
Nou, ik denk dat het meer te maken heeft met het feit dat Citrix zijn producten elke 2 jaar een andere naam geeft. Ik bedoel, eerst was het WInFrame, toen MetaFrame, toen Presentation Server, daarna XenApp en nu noemen ze het geloof ik Virtual Apps and Desktops als verzamelnaam voor hun shared computer en VDI platform. Daar is ook geen touw aan vast te knopen, maar toch had ik wel verwacht van een techsite als Tweakers dat ze het wel goed zouden benoemen.
b12e
@Steenvoorde29 juli 2021 10:26
Ik vermoed dat het enerzijds te maken heeft met naamsbekendheid - Citrix kent iedereen die er ooit mee gewerkt heeft, ADC of Netscaler ADC niet.

Terwijl iedereen toch wel Windows kent. Ook omdat in Windows die naam overal naar voor komt (en niet zozeer Microsoft logo'tje zonder al te veel naam van het ding). Bij Citrix is het toch echt het Citrix logo dat in je gezicht wordt gedouwd, en niet noodzakelijk de naam van de applicatie.

Aan de andere kant zit het lek specifiek in een product van.. dus dan is die nuance misschien niet overdreven ver gezocht. E.g. "ADC, een product van Citrix". Dan vang je zowel de vliegen die Citrix kennen als degenen die het echt onderhouden en dus weten dat NetScaler ADC / Citrix ADC het lekkende mandje is.
RedPixel
@Steenvoorde29 juli 2021 10:27
Doorgaans pak je in een CVE de meest specifieke naam die alles omvat. Je zou inderdaad die twee producten los kunnen noemen, maar als je een kwetsbaarheid hebt gevonden, maar nog niet zeker weet in welke producten deze kwetsbaarheid nog meer voorkomt, is het vaak handiger om de bedrijfsnaam te noemen. Op die manier kun je dezelfde kwetsbaarheid in meerdere producten van één bedrijf onder één CVE scharen. In bijna alle bovenstaande gevallen is de omschrijving generieker dan de exacte producten waar deze zich in bevinden.
jc1982
29 juli 2021 09:11
Gezien toename van thuiswerken is het niet zo vreemd dat daar een toename van aanvallen is vastgesteld.
Wel gemerkt dat er vaker noodverband gelegd moest worden afgelopen 'corona-tijd'.
kodak
@jc198229 juli 2021 11:53
Waaruit blijkt volgens jou dan verband met meer thuiswerken?
Van meer thuiswerken zal de software niet zomaar extra kwetsbaar worden. Zoals je zelf al schrijft, men doet juist aan beveiliging en kan dus verwachten dat aanvallen minder zin heeft.
Meer aanvallen komt dus niet perse door thuiswerken. Het lijkt redelijker om aan te nemen dat het opportunisme van criminelen is die horen dat er beveiligingslekken zijn en tegen nauwelijks kosten maar gaan aanvallen.
jc1982
@kodak29 juli 2021 15:00
Ik bedoel niet zozeer dat de software daadoor kwetsbaarder wordt. Het is van mij een aanname dat als een softwareproduct veel wordt gebruikt en een groetjes groei doormaakt, dat het aantrekkelijker wordt om daar misbruik van te maken. In geval van toename thuiswerken door corona, dus meer gebruik van dergelijke producten.
Doormat het aantrekkelijker wordt, zullen fouten/kwetsbaarheden dus eerder gevonden en misbruikt kunnen worden. Ik bedoel, tijd steken in software wat bijna niet gebruikt wordt is misschien wat minder lucratief?!?

En zolang de kwetsbaarheid niet wordt opgemerkt, .. kun je zelf wel invullen denk ik. Patches en updates horen er nu eenmaal bij.

[Reactie gewijzigd door jc1982 op 29 juli 2021 15:02]

the_stickie
@kodak1 augustus 2021 08:46
Er zijn wel een hoop bedrijven die hun vpn meer open gezet hebben om thuiswerk mogelijk te maken. Meer/andere gebruikers betekent ook meer/andere benodigde toegangen.
Er is ook een groep die nooit remote werkten en dus begin 2020 een scramble moesten doen voor hardware en licenties.
Het attack surface is dus zeker gegroeid door covid
Ben het wel met je eens dat vooral het opduiken van hele mooie kwetsbaarheden de interesse gewekt heeft. Waarom gaatjes zoeken in dmz services als je gewoon kan binnenwandelen op het lan :o
kodak
29 juli 2021 11:37
Ik vraag me af waarom er meer interesse lijkt om te noemen wat het vaakst zou gebeuren. Het kan toch niet zo zijn dat als iets vaak gebeurt het grote gevolgen heeft.

De gevolgen zijn vooral voor de bedrijven (en hun klanten, leveranciers en medewerkers) die nog steeds software met beveiligings-lekken blijven gebruiken.
aikebah
@kodak30 juli 2021 10:08
Ik vraag me af waarom er meer interesse lijkt om te noemen wat het vaakst zou gebeuren. Het kan toch niet zo zijn dat als iets vaak gebeurt het grote gevolgen heeft.
Dat is gewoon een logisch gevolg van de rol van de CISA: veiligstellen van de Amerikaanse Cyberwereld door het geven van adviezen. Dan kijk je naar de grootste bedreigen om op die manier je budget zo goed mogelijk te benutten. En dan blijken in 2020 de hackers massaal los te gaan op remoting security producten, die door een deel van de bedrijven snel houtje/touwtje worden opgetuigd.

Als bedrijf zorg je natuurlijk dat je patchbeleid en monitoring op orde zijn en kun je deze publicatie van CISA in de la opbergen.

Mocht je toch je bedenkingen hebben over of de veiligheid wel goed geborgd is, dan kun je uit dit rapport halen waar je eerste focus naar toe zou moeten gaan op basis van de onder hackers populaire exploits. (uiteraard stop je niet als je op dit rapport groene vinkjes hebt, maar kijk je de rest ook nog even na)
kodak
@aikebah30 juli 2021 12:03
Er lijkt een verschil te zijn tussen wat CISA schrijft en er hier aandacht voor is. CISA schrijft niet dat het om de meeste aanvallen gaat maar om de meeste succesvolle aanvallen. Nogal een groot verschil. De aandacht die CISA vraagt is duidelijk maar er lijkt vervolgens genegeerd te worden door de aandacht te verleggen naar aantallen in plaats van waarom CISA het noemt.
aikebah
@kodak31 juli 2021 09:00
Hmmm... weer een typisch gevalletje tweakers-journalistiek dus: cruciale steekwoorden (succesvol) weglaten. Ik had het moeten vermoeden en eerst de bron moeten checken. Dank voor je aanvulling.

Desalniettemin reden temeer om (zoals het CISA al aangeeft), als je bij de eigen IT omgeving de beveiliging op het moment niet vertrouwd te beginnen met checken dat ie op deze patches op orde is (danwel dat deze produkten niet in gebruik zijn), want die zijn dus aantoonbaar vaak in gebruikt als entrypoint voor (ontdekte) hacks. Dan moet je overigens ook niet vergeten om het niet-gequote lijstje van 2021 CVEs uit het rapport ook meteen mee te nemen.
In 2021, cyber actors continued to target vulnerabilities in perimeter-type devices. In addition to the 2020 CVEs listed above, organizations should prioritize patching for the following CVEs known to be exploited.
Marve79
29 juli 2021 11:09
Dan schrijf je toch gewoon Citrix producten. Nu slaat het nergens op.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee