Een eerste patch voor het lek in Citrix Gateway en Citrix Application Delivery Controller is uit. Het lek werd eind december bekendgemaakt en is ook al actief misbruikt om in bedrijven en instellingen in te breken. In afwachting van een permanente fix, hebben vele tientallen organisaties daarom de afgelopen dagen uit voorzorg hun Citrix-netwerk uitgeschakeld.

In Nederland, waar de software door een hele reeks grote overheidsinstellingen en steden wordt gebruikt, werd even gevreesd voor overlast. Citrix wordt vooral ingezet om mensen te laten thuiswerken, en zonder de servers moest een hele reeks ambtenaren alsnog pendelen. De ANWB, een Nederlands verkeerscentrum, waarschuwde dan ook voor 'Citrix-files', maar dat lijkt al bij al te zijn meegevallen. Het was wel drukker op de baan, zo meldt ANWB aan RTL Z op het einde van de dag, maar dat kan ook veel met de dichte mist te maken hebben.

Mondjesmaat worden de systemen nu hersteld. Zo hebben grote Nederlandse steden als Amsterdam en Rotterdam hun Citrix-netwerk weer opgestart. Ze zeggen dat ze maatregelen hebben genomen om misbruik te voorkomen. Citrix bouwt onder meer software om van op aftand de werken, en de systemen zijn populair bij veel bedrijven, overheden, ziekenhuizen en onderwijsinstellingen. Het Citrix lek is opvallend omdat er ongeveer een maand zat tussen de bekendmaking van de kwetsbaarheid, en de eerste patch. Dat geeft criminelen de kans om het lek te proberen uitbuiten. Of er de voorbije weken veel gegevens zijn buitgemaakt, is vooralsnog niet bekend. Security-experts en het Nederlandse National Cybersecurity Centrum suggereren alvast dat bedrijven hun servers goed moeten checken op achterdeurtjes of andere malware, zeker als ze pas laat de systemen hebben uitgezet.

Robin Hood, of toch niet

Enkele van de bedrijven die hun patch nog niet hebben geïnstalleerd, zagen hun servers de voorbije dagen onverwacht worden opgelapt. Een hacker zou bezig zijn om ongevraagd aangevallen servers schoon te maken en up te daten en om besmettingen ongedaan te maken. Vermoedelijk heeft de hacker in kwestie al een eigen backdoor geïnstalleerd, en gaat het om een manier om ervoor te zorgen dat anderen zijn territorium niet binnendringen.

Dat schrijft cyberbeveiliger FireEye, die de aanvallen heeft ontdekt. De operatie heeft de naam NOTROBIN gekregen. Als de aanvaller toegang krijgt tot een kwetsbare server, wordt alle schadelijke software verwijderd. Zo worden bijvoorbeeld cryptominers en andere malware gedeletet. Tegelijk dicht NOTROBIN het gat in Citrix, waardoor elke poging om daarna nog binnen te dringen, kansloos is. NOTROBIN houdt wel een achterdeur open: wie een geheime zin weet, als een soort wachtwoord, komt toch op de server.

Een eerste patch voor het lek in Citrix Gateway en Citrix Application Delivery Controller is uit. Het lek werd eind december bekendgemaakt en is ook al actief misbruikt om in bedrijven en instellingen in te breken. In afwachting van een permanente fix, hebben vele tientallen organisaties daarom de afgelopen dagen uit voorzorg hun Citrix-netwerk uitgeschakeld.In Nederland, waar de software door een hele reeks grote overheidsinstellingen en steden wordt gebruikt, werd even gevreesd voor overlast. Citrix wordt vooral ingezet om mensen te laten thuiswerken, en zonder de servers moest een hele reeks ambtenaren alsnog pendelen. De ANWB, een Nederlands verkeerscentrum, waarschuwde dan ook voor 'Citrix-files', maar dat lijkt al bij al te zijn meegevallen. Het was wel drukker op de baan, zo meldt ANWB aan RTL Z op het einde van de dag, maar dat kan ook veel met de dichte mist te maken hebben. Mondjesmaat worden de systemen nu hersteld. Zo hebben grote Nederlandse steden als Amsterdam en Rotterdam hun Citrix-netwerk weer opgestart. Ze zeggen dat ze maatregelen hebben genomen om misbruik te voorkomen. Citrix bouwt onder meer software om van op aftand de werken, en de systemen zijn populair bij veel bedrijven, overheden, ziekenhuizen en onderwijsinstellingen. Het Citrix lek is opvallend omdat er ongeveer een maand zat tussen de bekendmaking van de kwetsbaarheid, en de eerste patch. Dat geeft criminelen de kans om het lek te proberen uitbuiten. Of er de voorbije weken veel gegevens zijn buitgemaakt, is vooralsnog niet bekend. Security-experts en het Nederlandse National Cybersecurity Centrum suggereren alvast dat bedrijven hun servers goed moeten checken op achterdeurtjes of andere malware, zeker als ze pas laat de systemen hebben uitgezet. Enkele van de bedrijven die hun patch nog niet hebben geïnstalleerd, zagen hun servers de voorbije dagen onverwacht worden opgelapt. Een hacker zou bezig zijn om ongevraagd aangevallen servers schoon te maken en up te daten en om besmettingen ongedaan te maken. Vermoedelijk heeft de hacker in kwestie al een eigen backdoor geïnstalleerd, en gaat het om een manier om ervoor te zorgen dat anderen zijn territorium niet binnendringen. Dat schrijft cyberbeveiliger FireEye, die de aanvallen heeft ontdekt. De operatie heeft de naam NOTROBIN gekregen. Als de aanvaller toegang krijgt tot een kwetsbare server, wordt alle schadelijke software verwijderd. Zo worden bijvoorbeeld cryptominers en andere malware gedeletet. Tegelijk dicht NOTROBIN het gat in Citrix, waardoor elke poging om daarna nog binnen te dringen, kansloos is. NOTROBIN houdt wel een achterdeur open: wie een geheime zin weet, als een soort wachtwoord, komt toch op de server.