Nieuws

Aantal instellingen sluit of beperkt dataverkeer via Citrix-servers uit voorzorg

Afgelopen dagen hebben diverse op SURF aangesloten instellingen uit voorzorg het dataverkeer beperkt of afgesloten dat via hun Citrix-servers loopt. SURFcert, het incident response team van SURF, adviseerde dit nadat dat de mitigerende maatregel in sommige gevallen niet afdoende bleek om het beveiligingslek in Citrix te dichten.
beeld slotje in netwerk

Instellingen direct geïnformeerd

Toen het lek in december 2019 bekend werd, is het snel onder de aandacht gebracht binnen de beveiligingscommunity SCIRT. In de tweede week van januari ontving SURFcert specifieke informatie over welke Citrix-servers kwetsbaar waren. Deze informatie deelde SURFcert direct met SCIRT, en met instellingen van wie SURFcert weet dat zij Citrix gebruiken. Ondanks deze inspanning bleek een paar dagen later toch een instelling gecompromitteerd te zijn die op het SURF-netwerk aangesloten is. SURFcert heeft de technische details van deze compromise gedeeld met beveiligingscommunity SCIRT. Met deze informatie konden alle instellingen hun Citrix-systemen controleren en maatregelen treffen.

Instellingen moeten eigen apparatuur checken

Instellingen kunnen alleen zelf beoordelen of hun Citrix-apparatuur getroffen is. SURFcert heeft elke op het SURF-netwerk aangesloten instelling expliciet benaderd met instructies om dit vast te stellen. Daarnaast heeft SURFcert instellingen opgeroepen hen te informeren als ze iets vinden. Inmiddels heeft een aantal instellingen aangegeven dat hun servers gecompromitteerd zijn, alle hebben de situatie onder controle.

Advies SURFcert: Netscalers uitzetten, wachten op patches én eventueel schone herstart

SURFcert adviseert instellingen om de toegang tot de Citrix-servers te beperken of om serieus te overwegen Citrix Netscalers offline te halen tot er patches beschikbaar zijn. Verder beschouwt SURFcert servers als gecompromitteerd die niet medio december al zijn voorzien van mitigerende maatregelen. Daarvoor is een schone herinstallatie op basis van de laatste gepatchte versie van de software nodig. Instructies hiervoor zijn gedeeld met de beveiligingscommunity SCIRT. Op 19 januari zijn de eerste patches beschikbaar gekomen, later deze week volgt nog een aantal. Zie voor meer informatie de website van Citrix.

Dataverkeer Citrix-servers uit voorzorg beperkt of uitgezet

Binnen de SCIRT-community wordt over dit onderwerp veel informatie gedeeld en samengewerkt op technisch vlak. Daarnaast is intensief overlegd over het al dan niet preventief uitzetten van de Citrix-servers. Een aantal instellingen heeft op basis van dit overleg hun Citrix-servers (deels) uitgezet. Hoeveel instellingen dat hebben gedaan, is bij SURF niet bekend: niet alle instellingen hebben dit gemeld. Voor iedere instelling is de impact verschillend en niet iedere instelling communiceert erover.