Citrix: analyse problemen en toekomstig gebruik

CitrixVeiligToekomstAlternatieven
CitrixVeiligToekomstAlternatieven

Dit artikel is geschreven voor diegene die meer wil weten over de recente Citrix problemen, de oplossing daarvan en toekomstig gebruik van Citrix. Het artikel is met name bedoeld voor professionals die werkzaam zijn als Functionaris Gegevensbescherming, CISO, IT- of informatiemanager, jurist of beleidsmedewerker. Het is voor mensen die het Citrix dossier en de implicaties daarvan willen doorgronden. Het artikel is ook voor niet-techneuten goed te lezen.

We gaan hieronder eerst in om de commotie rondom de kwetsbaarheid en daarna op de oorzaak en oplossing. Dit artikel wordt afgesloten met een blik op de toekomst vanuit Citrix en door te kijken naar toekomstig gebruik van Citrix (is Citrix veilig genoeg?) en alternatieven.

Commotie

Op 15 januari meldt het Medisch Centrum Leeuwarden dat haar Citrix-servers zijn aangevallen door hackers. Als veiligheidsmaatregel wordt thuiswerken uitgeschakeld en worden de patiëntendossiers voor patiënten ontoegankelijk gemaakt. De gemeente Zutphen meldt dezelfde dag ook een aanval.

Op 16 januari verschijnt een waarschuwing van het Nationaal Cyber Security Centrum (NCSC). Het NCSC raadt aan te overwegen om de Citrix ADC en Gateway-servers uit te schakelen (waarover later meer). Als reactie op deze waarschuwing schakelen tal van overheidsorganisaties deze servers uit. Dit heeft problemen rondom vergunningverlening en uitgestelde examens tot gevolg. Maar ook massale files, omdat medewerkers niet meer kunnen thuiswerken.

Volgens Beveiligingsbedrijf Positive Technologies zou de kwetsbaarheid in potentie een risico betekenen voor de netwerken van 80.000 bedrijven in 158 landen.

Wat doet Citrix en waar ging het mis?

Citrix

Citrix wordt gebruikt om een virtuele desktop aan te bieden. Dit betekent het volgende.

In het verleden had iedere medewerker op kantoor zijn eigen computer. Hij of zij werkte op zijn eigen (desktop)computer; op het fysieke apparaat op zijn bureau. Daarop sloeg de medewerker zijn eigen bestanden op en werden alle programma’s geïnstalleerd die de medewerker nodig had.

Citrix is een product waarmee je de computer op het bureau virtualiseert. De computer op het bureau verhuist daarbij eigenlijk van het bureau naar een datacenter. Je kunt dan met allerlei verschillende apparaten (computer, laptop, tablet) op dezelfde virtuele werkplek werken. Als er nog een computer op je werkplek staat doet die niet veel meer dan een verbinding maken met jouw bureaublad in het datacenter. Je werkt via de computer op je bureau op je virtuele werkplek in het datacenter. De computer op jouw bureau, is niet meer dan een doorgeefluik. Daarom kun je met een laptop (een ander doorgeefluik) bij exact dezelfde werkplek komen.

Voor organisaties met veel medewerkers biedt dit virtualiseren van werkplekken veel voordelen, want organisaties kunnen hierdoor alle werkplekken op afstand beheren. Bij aanpassingen hoeven ze niet fysiek alle bureaus langs, maar kunnen ze aanpassingen doen in het datacenter waar alle virtuele computers actief zijn. Ze kunnen een softwarepakket bijvoorbeeld in een keer op alle virtuele werkplekken installeren en hoeven dit niet meer op iedere computer afzonderlijk te doen. Citrix is marktleider in het aanbieden van virtuele desktops.

Wat ging er mis?

Voor het werken op afstand biedt Citrix twee verschillende producten aan. Het gaat om de 1) Application Delivery Controller (ADC) en de 2) Gateway. Deze producten maken het dus mogelijk om de virtuele werkplek buiten het kantoornetwerk van de organisatie bereikbaar te maken. Ze gebruiken daarvoor wel een andere techniek.

  1. De ADC is een server die wordt geplaatst tussen het internet en het datacenter van een organisatie. Het hoofddoel van dit apparaat is om het inkomende verkeer te verdelen over de verschillende beschikbare servers. Dit voorkomt dat alle thuiswerkers op een server komen te werken en dat de andere servers ongebruikt blijven. Dit zou ervoor zorgen dat die ene server traag wordt. De ADC verdeelt het verkeer daarom evenredig over de verschillende servers. De duurdere versies bieden ook bescherming tegen dos-aanvallen en bieden een webapplicatiefirewall. Dit zijn bijkomstigheden en geen primaire functies van de ADC.
  2. De Gateway is een softwareproduct waarmee thuiswerken, toegang tot mail of apps eenvoudig mogelijk wordt gemaakt. De thuiswerker kan via zijn internetbrowser inloggen. Een apart apparaat is niet nodig.

Citrix heeft op 17 december 2019 een waarschuwing uitgegeven voor kwetsbaarheden ten aanzien van deze twee producten. Deze kwetsbaarheden maken het voor indringers mogelijk om op afstand willekeurige code uit te voeren. Citrix gaf aan geen beveiligingsupdate beschikbaar te hebben, maar adviseerde wel een workaround om misbruik van de kwetsbaarheden te voorkomen.

Daarna blijft het enige tijd vrijwel stil totdat op 10 januari een ‘exploit’ beschikbaar wordt gemaakt. Dit betekent dat er computercode openbaar is gemaakt, waarmee het lek voor iedere hacker eenvoudig te misbruiken is.

(Er was veel onduidelijkheid over de workaround die Citrix advixeerde. Deze bleek volgens Citrix wel en volgens anderen niet voor alle versies te werken, waardoor het NCSC op 16 januari adviseerde om Citrix servers voor alle versies uit te schakelen).

Oplossing

Volgend op de eerdere workaround van 17 december, bracht Citrix in de week van 20 januari diverse beveiligingsupdates uit:

  • Op maandag 20 januari verschijnen de eerste Citrix updates waarmee de beveiligingslekken in een aantal softwareversies kunnen worden gedicht.
  • Op woensdag 22 januari heeft Citrix een applicatie beschikbaar gemaakt waarmee kan worden geanalyseerd of het lek is misbruikt. De naam hiervan is: Indicator of Compromise Scanner for CVE-2019-19781
  • Op donderdag 23 januari verschijnen diverse updates. Het NCSC bericht dat de nieuwe versies 12.1 en 13.0 van Citrix Netscaler ADC en Gateway Server de kwetsbaarheid met kenmerk verhelpen. Er is tevens een ander kwetsbaar Citrixproduct, SD-WAN WANOP. Dit is hardware waarmee bedrijven de prestaties van hun netwerk kunnen verbeteren. De problemen daarmee zijn identiek aan de ADC en Gateway. Ook hiervoor is een update beschikbaar gesteld.
  • Op vrijdag 24 januari verschijnen de laatste beveiligingsupdates voor ADC en Gateway (versie 10.5).

Na installatie van de uitgegeven updates moeten de beveiligingslekken zijn gedicht.

Reactie en toekomst Citrix

Techzine heeft naar aanleiding van alle gebeurtenissen gesproken met de CISO van Citrix. Het interview met Fermín Serna lees je hier. De belangrijkste boodschap van Fermín Serra is dat alle commotie had kunnen worden voorkomen als de workaround was gevolgd. Hij stelt: “Als Citrix-beheerders de tijdelijke oplossing hadden uitgevoerd in de dagen na onze publicatie op 17 december, waren ze gewoon beschermd tegen dit beveiligingslek.”.

Verder geeft Serna aan dat hun procedures aansluiten bij de industriestandaarden en dat deze goed hebben gewerkt. Hij stelt ook dat het voorkomen van fouten in dergelijke software nooit helemaal is te voorkomen. Er wordt namelijk door honderden of zelfs duizenden mensen aan dit soort grote applicaties gewerkt en mensen maken fouten. Wel wordt voortaan meer aandacht besteed aan de veiligheid van applicaties.

Toevallig heeft Citrix net voor alle problematiek haar toekomstvisie gepresenteerd op de jaarlijkse Citrix Summit in Orlando. De visie is dat alle apps voor iedere gebruiker op ieder apparaat beschikbaar moet zijn. Deze visie krijgt vorm door de zogenoemde Digital Workspace. Dit is een volledig geïntegreerde werkplek waar applicaties uit verschillende clouds op elk device te benaderen zijn. Deze Workspace vormt een integratie van alle programma’s waarmee gebruikers werken, alles wordt via Citrix benaderbaar. Ook SaaS applicaties. Dat is handig voor de gebruiker, want nu werken medewerkers namelijk ook vaak ‘buiten Citrix’ om, bijvoorbeeld door thuis in te loggen op een webportal of dergelijke. Zij moeten daarvoor meestal apart inloggen. Het in elkaar schuiven van alle diensten met Digital Workspace betekent dat een toekomstig lek in de Citrix software mogelijk nog meer gevolgen heeft, omdat hackers mogelijk bij meer applicaties kunnen.

Alternatieven / Windows virtual desktop

Veel mensen zullen zich na de Citrix incidenten van half januari afvragen of een andere technische oplossing meer zekerheid biedt.

Citrix is wel de grootste, maar niet de enige partij die desktops visualiseert. Een andere grote en bekende partij is VMware. Bi VMware doen zich ook regelmatig veiligheidsincidenten voor. Het is maar de zeer de vraag of VMware een betere keus is qua veiligheid en of dat de overstap rechtvaardigt.

Beter is het om je beveiligingsmaatregelen op orde te hebben door tijdig te updaten en door actief te monitoren. Bedenk ook een noodplan voor als een dergelijk incident zich (opnieuw) voordoet. Het dichtzetten van verbindingen van buitenaf zoals nu veel is gebeurd is altijd snelle en veilige oplossing, maar heeft natuurlijk wel veel impact. Door andere technische maatregelen op te nemen in een noodplan, zoals het activeren van een extra VPN of het aanpassen van de firewall, had de situatie eerder hersteld kunnen worden.

Je zou ook kunnen kijken naar een nieuw alternatief, zoals Windows Virtual Desktop (WVD). Daarbij wordt Windows vanuit de cloud aangeboden. De beveiliging is dan (meer) bij de leverancier belegd, afhankelijk van de wijze waarop dit technisch wordt ingericht. Als je veel gebruik maakt van applicaties op een door jouw eigen organisatie beheerde omgeving, zul je hiervoor beveiligingsmaatregelen moeten treffen. Citrix biedt een vergelijkbaar product onder de naam Citrix Cloud. Niet geheel verrassend is dat Citrix en Microsoft samenwerken bij de WVD. Voordat dergelijke stappen worden gemaakt, dient eerst het applicatielandschap goed in beeld te zijn gebracht. Daarnaast zijn het nieuwe oplossingen en is niet duidelijk hoe met de vertrouwelijkheid van gegevens wordt omgegaan.

Een laatste alternatief is het werken zonder gevirtualiseerde desktop. Je zou bijvoorbeeld kunnen werken met alleen maar cloud applicaties. Denk aan Office365 vanuit de cloud. Of dit werkbaar is, hangt af van de vraag of alle benodigde applicaties als SaaS oplossing (vanuit de browser) beschikbaar zijn. Ook hier is inzicht in het applicatielandschap dus essentieel. Je zou natuurlijk ook een deel van de medewerkers op deze manier kunnen laten werken. Let wel op, enkele apps van Microsoft zijn eerder niet door de keuring van de Autoriteit Persoonsgegeven gekomen.

Kortom, genoeg stof tot nadenken de komende tijd..

Bronnen en verder lezen

https://www.ncsc.nl/actueel/advisory?id=NCSC-2019-0979

https://www.security.nl/posting/639997/Het+Citrix-beveiligingslek%3A+de+laatste+stand+van+zaken

https://www.security.nl/posting/640644/Citrix+rolt+updates+voor+ernstig+lek+in+SD-WAN+WANOP+eerder+uit

https://tweakers.net/nieuws/162688/citrix-maakt-beveiligingsupdates-voor-adc-en-gateway-121-en-130-beschikbaar.html

https://tweakers.net/nieuws/161500/citrix-kwetsbaarheid-vormt-risico-voor-netwerken-van-80000-bedrijven.html

https://www.true.nl/blog/citrix-workspace-dit-wil-je-weten/

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*