nieuwskwetsbaarheid citrix-servers
Hackers wisten systemen Medisch Centrum Leeuwarden binnen te dringen
Hackers zijn de systemen van het Medisch Centrum in Leeuwarden (MCL) binnengekomen. Ze maakten daarbij gebruik van inloggegevens die ze via een kwetsbaarheid in Citrix-servers hadden buitgemaakt.
Ziekenhuizen en andere organisaties gebruiken Citrix om op afstand in een werkomgeving te komen – Citrix functioneert daarbij als een virtuele desktop. Ook patiënten en andere ziekenhuizen gebruiken Citrix om bij patiëntgegevens te komen.
Het ziekenhuis stelt op de website dat hackers ‘een poging’ hebben gedaan om in te breken en dat het MCL daarom alle dataverbindingen met de buitenwereld heeft afgesloten. Bronnen met kennis van de zaak noemen deze bewoordingen ‘eufemistisch’ en stellen dat sprake is van een infectie. Een woordvoerder bevestigt dat ‘wordt onderzocht hoe ver de aanvallers zijn gekomen’.
Hoogste prioriteit
De afgelopen dagen werd al meermaals gewaarschuwd voor het serieuze lek in de Citrix-servers dat vanaf 17 december publiek bekend is. Onder meer het Nationaal Cyber Security Center (NCSC) gaf de kwetsbaarheid de hoogste prioriteit.
Ook beveiligingsexpert Matthijs Koot van Secura waarschuwde voor de gevolgen ervan. Koot, tevens gastonderzoeker aan de Universiteit van Amsterdam, hield bij hoeveel bedrijven en instellingen geen of te weinig maatregelen hadden genomen. Honderden plekken bleken recent nog kwetsbaar voor hackers, waaronder verzekeringsbedrijven en ziekenhuizen. Koot wil geen namen geven.
De kwestie doet sterk denken aan die rond Pulse Secure van een half jaar geleden. Onderzoekers ontdekten een serieus lek in VPN-verbindingen die worden gebruikt om vanuit huis veilig in te loggen op een kantoornetwerk. Pulse Secure dichtte het lek binnen een maand, maar een half jaar later bleken tal van Nederlandse organisaties de update van Pulse niet uitgevoerd te hebben. Ondertussen maakten onder meer Chinese spionagegroepen al gebruik van het lek om binnen te komen bij Westerse bedrijven. Shell, Boskalis, KLM, het ministerie van Justitie en zelfs Luchtverkeersleiding Nederland bleken al die tijd kwetsbaar voor hackers.
Waarschuwingen
Dat riep vragen op over de rol van het NCSC, de organisatie die verantwoordelijk is voor digitale veiligheid. Hoe kon het dat ondanks waarschuwingen van het NCSC kritieke organisaties hun veiligheid maandenlang niet op orde hadden? Kon het NCSC niet meer doen dan enkel waarschuwen?
Minister Grapperhaus (Veiligheid, CDA) zei daarop dat hij bedrijven die hun ICT niet op orde hebben, harder aan wil pakken. Ook wil hij het mandaat van het NCSC wijzigen, zodat het desnoods een dwangsom op kan leggen. Binnen het NCSC verbaasden sommigen zich over de voortvarendheid van de minister. Het NCSC adviseert en stelt bedrijven in staat om zelf te handelen, is de heersende opvatting. Daar past een actievere rol niet bij.
Een half jaar later laat de Citrix-kwetsbaarheid zien dat er weinig veranderd is. Het lek was vanaf 17 december bekend en Nederlandse organisaties konden zich ertegen beschermen. Niet overal bleek de ernst en de urgentie duidelijk. Onder meer de Politieacademie, gemeente Rotterdam, de Autoriteit Consument en Markt en de Autoriteit Financiële Markten waren wekenlang kwetsbaar voor hackers, zeggen bronnen.
Als hackers het lek misbruiken kunnen ze een sessie van iemand die ingelogd is overnemen, gebruikersnamen en versleutelde wachtwoorden achterhalen en proberen om ook in de interne systemen van een organisatie te komen. Dat probeert het Medisch Centrum in Leeuwarden te voorkomen door alle verbindingen met de buitenwereld af te sluiten. Een woordvoerder: ‘Hoe ver ze zijn gekomen, is nu nog onduidelijk.’
Het interne netwerk van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, lag maandenlang wagenwijd open voor kwaadwillenden. Lees de reconstructie van het Pulse Secure-lek.
