|
|
Citrix - Ernstige kwetsbaarheid - Veiligheidsrisico's - Hacking - Servers en computers - Ondernemingen - Overheids- en veiligheidsdiensten - Beveiliging - Richtlijnen - Maatregelen
informatiebeveiliging
informatieoorlog
computercriminaliteit
computerprogramma
| 5/5/2022 | Verzending vraag (Einde van de antwoordtermijn: 9/6/2022) |
| 22/6/2022 | Antwoord |
Ook gesteld aan : schriftelijke vraag 7-1601
Ook gesteld aan : schriftelijke vraag 7-1602
Op 17 december 2019 maakte Citrix een kwetsbaarheid in zijn software bekend en nam het bedrijf tijdelijke maatregelen om de risico's te beperken. Nog voordat de vele duizenden Citrix-gebruikende organisaties doordrongen waren van de acute risico's en de tijdelijke maatregelen hadden geïnstalleerd, waren aanvallers binnengedrongen in systemen (cf. https://www.onderzoeksraad.nl/nl/page/19862/fundamenteel-ingrijpen-is-nodig-voor-nederlandse-digitale-veiligheid).
Het betrof een zeer ernstige kwetsbaarheid van «Citrix ADC» en «Citrix Gateway» servers, voorheen bekend als «Citrix Netscaler». Deze kwetsbaarheid werd qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10 (cf. https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen). Dit zou in potentie een risico betekenen voor de netwerken van 80 000 bedrijven in 158 landen. De top vijf van landen met dergelijke organisaties wordt aangevoerd door de Verenigde Staten, maar ook het Verenigd Koninkrijk, Duitsland, Nederland en Australië staan in dat rijtje.
Als de kritieke kwetsbaarheid wordt uitgebuit, kunnen aanvallers zich via het internet direct toegang verschaffen tot het lokale netwerk van een bedrijf en daarvoor zijn geen accounts of authenticatie nodig, aldus Positive Technologies. Het uitbuiten van de kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren (cf. https://tweakers.net/nieuws/161500/citrix-kwetsbaarheid-vormt-risico-voor-netwerken-van-80000-bedrijven.html).
Positive Technologies, dat zich specialiseert in digitale veiligheidsexpertise, zegt dat Citrix-applicaties wijdverspreid zijn in bedrijfsnetwerken. Ze worden onder meer ingezet om medewerkers via het internet toegang te geven tot de interne bedrijfsapplicaties. De kwetsbaarheid maakt het voor een onbevoegde niet alleen mogelijk om toegang te krijgen tot gepubliceerde applicaties, maar ook andere bronnen van het interne bedrijfsnetwerk zijn kwetsbaar via de Citrix-server.
In tussentijd heeft Citrix zelf een geactualiseerde versie beschikbaar gesteld die deze veiligheidsproblemen zouden moeten oplossen (cf. https://www.security.nl/posting/729529/Citrix+verhelpt+kritieke+dos-kwetsbaarheid+in+ADC+en+Gateway). De vraag is in hoeverre zowel bedrijven als organisaties reeds deze geactualiseerde versie hebben geïmplementeerd. Zoniet blijven de netwerken uiterst kwetsbaar.
Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.
Graag had ik dan ook volgende vragen voorgelegd:
1) Bent u zich bewust van het mogelijke veiligheidsprobleem met de software van het merk Citrix? Indien ja, zijn er reeds stappen genomen om dit te verhelpen?
2) Gebruikt men binnen onze overheids- en veiligheidsdiensten de diensten van de bovengenoemde fabrikant? Indien ja, hoeveel computers, servers of accounts maken hiervan gebruik?
3) Zijn er reeds richtlijnen omtrent het vervangen of het actualiseren van dergelijke plots onveilig blijkende software? Welke instructies krijgt men mee? Wat is er al reeds gedaan? Indien ja, hoeveel bedroegen de kosten?
4) Zijn er reeds klachten binnengekomen van zowel privépersonen of diensten die gebruik maken van deze software? Indien ja, hoeveel in de voorbije drie jaar? Zijn er ook reeds meldingen binnengekomen omtrent computerkraken en indringers die binnendringen op servers of computers en dergelijke met Citrix-software, specifiek omwille van de zwaktes die de systemen vertonen zonder de veiligheidsupdate? Zo ja, hoeveel en waar?
5) Bent u bereid snel op te treden gezien het risico voor veel instellingen? Zo ja, welke stappen zullen gezet worden? Indien neen, hoe voorkomt u dat het gebruik van dergelijke software een veiligheidsprobleem kan veroorzaken?
1) Defensie is wel degelijk op de hoogte van het mogelijke veiligheidsprobleem met software van het merk Citrix. Gezien er tot op heden geen enkele kwetsbaarheid werd vastgesteld met deze software, werd er ook geen enkele specifieke actie ondernomen.
2) Binnen Defensie worden effectief enkele producten uit het gamma van de bovengenoemde fabrikant gebruikt, waarvan het aantal en het type omwille van veiligheidsredenen niet kunnen gegeven worden.
3) Veiligheidsproblemen verbonden aan software die gebruikt wordt door Defensie, worden opgevolgd volgens een standaardproces.
Het departement Cyber van ADIV (Algemene Dienst inlichting en veiligheid) verzorgt de monitoring van de opduikende kwetsbaarheden en stuurt de relevante rapporten door naar de IT Security Architect van Defensie.
Na een vooranalyse wordt het CCV&C (Competentiecentrum communicatie- en informatiesystemen) aangeduid om de getroffen systemen te isoleren tot het probleem is opgelost. Dit is mogelijk door de kwetsbaarheid op de betreffende software te mitigeren of te corrigeren.
Gezien geen kwetsbaarheden werden vastgesteld met de door Defensie gebruikte Citrix-producten, werden er hieromtrent ook geen acties genomen.
4) Tot op heden heeft Defensie geen enkele klacht of melding ontvangen met betrekking tot de Citrix-software.
5) Zie antwoord op vraag 3).