De impact van één beveiligingslek

Het begon op 17 december. Citrix meldde op haar weblog dat er een beveiligingslek was ontdekt in twee belangrijke Citrix producten: de Citrix Application Delivery Controller (ADC) en Citrix Gateway. Een oplossing hiervoor hadden ze toen nog niet. Citrix adviseerde om mitigerende maatregelen te nemen en je organisatie zo te beschermen tegen het lek. Via het beveiligingslek kan een aanvaller op afstand code op het systeem uitvoeren. Zonder in te loggen kunnen ze zo bij allerlei data; van je bankgegevens tot je vakantiefoto’s. Een aanvaller zou ook amper sporen achterlaten, waardoor het moeilijk is om achteraf te zeggen wat er gestolen is.

De producten van Citrix maken het mogelijk om een virtuele werkplek te creëren.  En zo op een willekeurig kantoor, thuis, of ergens anders te werken. Vrijwel alle doelgroeporganisaties van het NCSC, zoals de Rijksoverheid, maken gebruik van Citrix. ‘Het is maar goed dat de Citrix-crisis niet tijdens de coronacrisis kwam. Anders hadden duizenden mensen niet thuis kunnen werken’ zegt Stefan Nelwan, coördinator incident response bij het NCSC. 

Ook Martijn Bouckaert, teamleider bij het Security Operations Center (SOC) van het ministerie van Justitie & Veiligheid (J&V) vond het een moeilijke tijd: ‘Er vallen ongeveer zeventig organisaties onder J&V, van de politie tot het Centraal Justitieel Incassobureau.

Al die organisaties hebben verschillende processen waarvoor ze veelal Citrix gebruiken. Zo wordt door artsen binnen de gevangenissen Citrix gebruikt om toegang te krijgen tot zorggegevens. Dat kan in sommige situaties van levensbelang zijn.’ Ook Marco van Beek, Chief Information Security Officer (CISO) bij de gemeente Amsterdam vond het een spannende periode: ‘Dit was voor de organisatie wel een donderslag bij heldere hemel. Je moet snel schakelen en in kaart brengen welke systemen en processen hierdoor beïnvloed worden.’

Het NCSC monitort informatiebronnen van leveranciers van producten of diensten die de doelgroepen gebruiken. Van grote leveranciers zoals Citrix, tot hele kleine leveranciers die specialistische software leveren. Bij een nieuwe publicatie krijgt het NCSC een melding. Zo ook bij dit beveiligingslek.

Na een dergelijke melding voert het NCSC een impact assessment uit. Er wordt dan naar twee dingen gekeken: de dreiging en de potentiële impact van de kwetsbaarheid. De dreiging wordt bepaald door bijvoorbeeld te kijken naar hoe moeilijk het is om de kwetsbaarheid te misbruiken. De impact wordt ingeschat door de potentiële schade in te schatten. Als een organisatie bijvoorbeeld geen diensten meer kan leveren dan is dat potentieel een groot probleem.

Bij de bekendmaking van het Citrix-lek schatte het NCSC de dreiging in op medium-high, terwijl er nog geen patch beschikbaar was. Echter, ‘het kunnen binnendringen in een systeem zonder daarvoor inloggegevens nodig te hebben om daarna data te kunnen stelen of programma’s te kunnen opstarten, verdient de hoogste kwalificatie’, zegt Nelwan. Daarom werd op 24 december 2019 het hoogste beveiligingsadvies gegeven: high-high.

Het NCSC stuurde vervolgens snel een advies met maatregelen naar alle doelgroepen, de Rijksoverheid en de vitale aanbieders. ‘Zo’n bericht gaat eigenlijk naar alle contactgegevens die we hebben,’ zegt Nelwan. 'Het is zaak om de systeembeheerders en de informatiebeveiligers van de doelgroeporganisaties zo goed mogelijk te informeren en activeren.'

Begin januari was er nog altijd geen beveiligingspatch vanuit Citrix. Security onderzoekers voerden een scan uit en maakten bekend dat er meer dan 700 servers in Nederland kwetsbaar zijn. Het NCSC heeft zelf niet de bevoegdheid om zo’n kwetsbaarheidsscan uit te voeren. Het bleef een onzekere tijd voor informatiebeveiligers. ‘Wij kozen voor het NCSC als single point of truth en volgden rechtstreeks hun advies’’, zegt Bouckaert. ‘Dat was soms ook wel ingewikkeld, omdat het NCSC niet altijd open is over welke bronnen ze gebruikt hebben om hun advies te onderbouwen. En dat is vervolgens dan weer moeilijk uit te leggen als beheerorganisatie aan de deelorganisaties. Dat was wat mij betreft een leerpunt.’

Door de mitigerende maatregelen in detail te publiceren, maakte Citrix het voor kwaadwillenden ondertussen gemakkelijk om het beveiligingslek op te sporen. Op 9 januari constateerde het NCSC dat er een exploitcode was gepubliceerd. Dit stukje code kon gebruikt worden door aanvallers om het lek te misbruiken. Aanvallen werd daarmee nog laagdrempeliger.

Het NCSC besloot daarop breder te gaan communiceren over het lek. Er werd een bericht geplaatst op de website om ook andere organisaties buiten de doelgroepen te informeren. Voor de Rijksoverheid werd op 17 januari geadviseerd om de Citrix-systemen uit te schakelen. Dat betekende dat veel werkplekken, zowel op kantoor als thuis, niet meer konden functioneren, met Citrix-files tot gevolg.

Citrix uitschakelen dwong organisaties tot creativiteit. ‘Wij hebben het NCSC-advies direct opgevolgd, maar dit betekende wel dat mensen geen toegang meer hadden tot hun werkomgeving. En ook de mailvoorziening op de telefoons liep bij ons via Citrix en werkte niet meer. Dus moet je andere middelen verzinnen om met je medewerkers te communiceren, je moet snel improviseren. Er zijn gelukkig bijna altijd wel workarounds te bedenken’, zegt van Beek. ‘Bij de GGD werkte bijvoorbeeld een bepaald afsprakensysteem niet meer. Dan moet je terugvallen op gewoonweg iemand bij een balie neerzetten en volgnummers uitreiken, zodat de dienstverlening door kan gaan.’

Maar voor sommige organisaties was dat geen oplossing. ‘Sommige deelorganisaties, zoals de politie, hebben de afweging moeten maken of de schade van het uitzetten van Citrix groter was dan het operationeel houden hiervan’, vertelt Bouckaert. ‘Politieagenten kunnen zonder Citrix bijvoorbeeld geen bevragingen meer doen op straat. Dat kun je niet zomaar uitschakelen. Dan moet je zorgen voor extra maatregelen, waardoor het gebruik toch veilig gebeurt.’

Op 19 januari kwam Citrix met beveiligingspatches. Waardoor organisaties een patch kunnen installeren waarmee er een structurele oplossing kwam voor de kwetsbaarheid. Zo werd er een onzekere periode afgesloten. Van Beek: ‘We hebben er veel van geleerd. Deze crisis liet voor mij zien dat de ICT-wereld nog kan leren van het veiligheidsdomein. Zij hebben voor een maatschappelijke crisis alle draaiboeken al klaarliggen. De gemiddelde ICT-organisatie heeft dat nog niet omdat ze dat nog niet zo gewend zijn. Bij de gemeente Amsterdam werd direct een crisisteam ingesteld. Daarbij is het belangrijk om alle contacten, collega's, leveranciers, beheerpartijen en ketenpartners operationeel bij de hand hebben. Tot slot is het inzicht in het eigen IV-landschap, inclusief ketens, essentieel. Als dat inzicht er is dan kun je tijdig patchen en daarmee de periode van uitval zo kort mogelijk houden.’