Het lek in Citrix, dat een half jaar geleden tot een crisis leidde bij de Rijksoverheid, wordt actief misbruikt. Terwijl de aandacht voor de kwetsbaarheid is weggeëbd, blijken criminele hackers en spionagegroepen bij zeker 25 Nederlandse organisaties toegang te hebben tot het interne netwerk.

Deze organisaties hadden het lek gedicht, maar zijn toch gehackt. Het gaat onder meer om een bedrijf dat watermerken maakt voor bankbiljetten, een farmaceutisch bedrijf en een organisatie voor gehandicaptenzorg.

Dat hebben onderzoekers van beveiligingsbedrijf Fox-IT ontdekt. De kwestie toont opnieuw hoe lastig het is om bedrijven digitaal veilig te houden en roept tevens vragen op over de rol van het Nationaal Cyber Security Center (NCSC), het overheidsorgaan dat toeziet op digitale veiligheid.

Fox-IT onderzocht of en hoe er misbruik wordt gemaakt van het vorig jaar ontdekte lek in de Citrix-omgeving. Vele bedrijven en ministeries gebruiken servers van Citrix om daar hun interne programma’s en applicaties op te laten draaien. Medewerkers loggen op die omgeving in en komen zo op het interne netwerk van een organisatie. Citrix is een belangrijke dienstverlener en heeft wereldwijd ongeveer 400.000 klanten.

Extra sleutel

Eind december 2019 maakte het bedrijf bekend dat er een ernstige kwetsbaarheid was ontdekt waardoor het mogelijk was om op het interne netwerk van bedrijven te komen. Dat gebeurde onder meer bij het Medisch Centrum in Leeuwarden. Er was niet meteen een oplossing om het lek te dichten. Bedrijven konden wel stappen zetten om misbruik te voorkomen. Omdat de kans op misbruik hoog was, adviseerde het NCSC om Citrix-servers helemaal af te sluiten. De Rijksoverheid, Schiphol, de Tweede Kamer en bedrijven in de energiesector werden daardoor getroffen. Werknemers en ambtenaren konden niet langer vanuit huis op de werkomgeving inloggen.

Toen Citrix wel oplossingen had – zogeheten patches – was het probleem niet volledig verdwenen. ‘Integendeel’, zegt chief security expert Frank Groenewegen van Fox-IT: ‘Bedrijven die de patches te laat uitvoerden, bleken in sommige gevallen al gehackt te zijn. En die patch beschermt ze daar niet meer tegen. Ze denken veilig te zijn maar zijn dat niet.’ Fox-IT ontdekte dat wereldwijd meer dan 2.000 servers een backdoor hebben, waaronder veel overheidsorganisaties en bijvoorbeeld een website van de Navo.

Dat betekent dat hackers het Citrix-lek gebruikt hebben om een bestand achter te laten waarmee ze altijd toegang hebben. Groenewegen: ‘In andere woorden: ze hebben een sleutel van de voordeur gemaakt waardoor ze naar binnen kunnen. Het helpt niet om de deur op slot te doen.’ Fox-IT zag ook dat sommige hackgroepen een trucje uithaalden bij geïnfecteerde organisaties om te voorkomen dat concurrerende criminelen dezelfde toegang kunnen krijgen.

Losgeld

Hackers kunnen hun ingang misbruiken door vast te leggen wie de actieve gebruikers zijn, welke applicaties er bij een organisatie zijn of ze kunnen verder het bedrijf infiltreren. Het doel kan crimineel zijn – bijvoorbeeld door het netwerk over te nemen, te gijzelen en losgeld te eisen – of spioneren of saboteren. Eerder concludeerden inlichtingendiensten AIVD en MIVD al dat statelijke actoren actief gebruik maken van het Citrix-lek voor spionage. Vermoedelijk gaat het onder meer om Iraanse en Chinese spionagegroepen.

Het NCSC noemde deze week de Citrix-casus als voorbeeld van de dubieuze weerbaarheid van Nederlandse organisaties tegen digitale aanvallen. De digitale risico’s zijn volgens de instantie onverminderd groot en de reactie op het Citrix-lek maakte duidelijk waar de kwetsbaarheden zitten. Want ondanks waarschuwingen en beschikbare oplossingen bleken veel organisaties niet in staat zich te verdedigen. Dertig Nederlandse organisaties hebben überhaupt het lek nog niet gedicht.

Overheidstaak

Maar de kwestie roept ook vragen op over de rol van het NCSC zelf. Want wat zijn de adviezen van die organisatie waard als die in de wind worden geslagen? Critici wijzen er op dat het NCSC niet actief ‘scant’ om nog kwetsbare organisaties te vinden, zoals Fox-IT nu heeft gedaan en andere onderzoekers of vrijwilligers destijds deden. Zou dat geen overheidstaak moeten zijn?

En waarom waarschuwt het NCSC vitale bedrijven maar niet de commerciële partijen en het mkb? Dus ook niet het bedrijf dat watermerken maakt of het instituut voor gehandicaptenzorg dat werkt met gevoelige medische gegevens. Minister Ferd Grapperhaus (Veiligheid) kwam deze week met een gedeeltelijk antwoord. Hij wil in het vervolg Rijksoverheid en vitale bedrijven dwingen om bij een lek direct maatregelen te nemen of anders uit te leggen waarom dit niet mogelijk is.

Bron: https://www.volkskrant.nl/nieuws-achtergrond/half-jaar-na-citrix-crisis-zijn-25-nederlandse-organisaties-gehackt-en-ze-weten-zelf-van-niets~b26947bc