Belgische bedrijven gehackt via oud Citrix-lek (UPDATE)
Bij een aantal Belgische bedrijven zitten hackers binnen dankzij het Citrix-lek van begin dit jaar. Hun software is gepatcht, maar er blijven achterpoortjes aanwezig.
De Nederlandse beveiliger Fox-IT heeft met eigen onderzoek vastgesteld dat er wereldwijd 3.332 organisaties zijn waar een achterpoortje in de infrastructuur is ingebouwd. Daaronder zitten volgens de organisatie 32 Belgische servers.
Het gaat om bedrijven die software van Citrix gebruiken, specifiek de Application Delivery Controller en Citrix Gateway. Daar werd eind vorig jaar een lek in ontdekt, maar het kostte Citrix enkele weken om met een patch te komen. Intussen konden hackers hun gang gaan. Maar bedrijven die toen, vaak zonder het te weten, werden gehackt, zijn vandaag nog steeds toegankelijk voor hackers zegt Fox-IT. Ook al hebben ze intussen de update van Citrix geïnstalleerd.
“Bedrijven die de patch nog niet hebben doorgevoerd zijn sowieso kwetsbaar. Maar we hebben vastgesteld dat er ook bedrijven zijn waar hackers achterpoortjes hebben voorzien op Citrix-apparaten,” vertelt Frank Groenewegen, Chief Security Expert bij Fox-IT aan Data News. “Die blijven gehackt, ook al is er intussen een patch geïnstalleerd en denken ze dat ze veilig zijn.”
CCB
Om welke bedrijven het gaat wil Fox-IT om veiligheidsredenen niet zeggen, maar het bedrijf gaat de getroffen organisaties ook niet zelf contacteren. “Wij delen de slachtofferinfo met de nationale CERT’s waardoor zij die organisaties in hun land kunnen benaderen,” zegt Groenewegen aan Data News.
“Het gaat om meer dan 3.300 bedrijven, die kunnen we niet allemaal benaderen dus doen we dat via de officiële wegen.” Voor België is dat via het CCB, waaronder CERT.be valt, dat volgens het securitybedrijf via een internationale mailinglijst dinsdagavond de informatie kreeg.
Daar was aanvankelijk onduidelijkheid over. In eerste instantie had het CCB geen weet van die informatie, waarop het zelf contact opnam met Fox-IT. Achteraf, na het publiceren van een eerste versie van dit artikel, bleek dat het om een een misverstand ging. Het CCB zegt dat Fox-IT wel degelijk via een internationale mailinglijst IP-adressen en verdere identificatieinfo heeft gedeeld en het kreeg die informatie intussen ook van Fox-IT zelf. Het CCB neemt de melding ernstig en zal de getroffen bedrijven zelf contacteren. Het gaat volgens de organisatie om een dertigtal bedrijven.
Honeypot
Hoe weet Fox-IT welke bedrijven, of beter gezegd IP-adressen, kwetsbaar zijn? Het bedrijf heeft het probleem onder meer met behulp van een honeypot ontdekt. Dat is een nagemaakt bedrijfssysteem dat met opzet zwakke plekken open laat, in de hoop dat hackers het aanvallen. Zo kan het bedrijf kijken hoe criminelen te werk gaan. “Uiteraard aangevuld met eigen onderzoek, praktijken die we zelf bij klanten zien, en zo kunnen we die achterdeuren identificeren,” zegt Groenewegen.
“Via die honeypot leren we de patronen van hackers en hoe ze specifieke backdoors gebruiken. Zo stonden bepaalde poorten open op de getroffen infrastructuur,” vult Alexander Thomaere, country manager BeLux bij Fox-IT aan. Vervolgens scant het bedrijf verschillende publiek toegankelijke servers om te kijken of er een achterpoort aanwezig is. Het bedrijf merkt wel op dat enkel de backdoors die het zelf kon identificeren via de honeypot worden herkend. Het kan dus ook zijn dat er nog andere malafide activiteiten hebben plaatsgevonden.
Helft niet gepatcht
Een belangrijk detail is dat slechts 52 procent van de Citrix-infrastructuur volgens Fox-IT vandaag gepatcht is. Dat wil zeggen dat hackers in principe dezelfde truc kunnen blijven uitvoeren op 48 procent van de overige servers.
Het voornaamste probleem is dat het voor bedrijven moeilijk te weten is of een hacker is binnengedrongen. “Citrix heeft zelf een scan tool ter beschikking waarmee je kan vaststellen of er mogelijk misbruik is gebeurd. Maar daar heb je ook logbestanden voor nodig die teruggaan tot januari.” Een andere optie is een grondig forensisch onderzoek om te kijken of er werd ingebroken en welke data daarbij zijn gestolen. Maar zoals eerder in dit artikel vermeld is het CCB intussen op de hoogte van de getroffen IP-adressen en zal het die organisaties zelf contacteren.
Update 4/7/2020
Bij het tot stand komen van dit artikel is er enkel keren verwarrende communicatie geweest tussen Fox-IT, het CCB en de redactie van Data News waardoor het leek dat Fox-IT aanvankelijk geen of onvolledige informatie had gedeeld.
Hier is sprake van een misverstand. Intussen bevestigt het CCB dat het zowel via de internationale mailinglijst als achteraf van Fox-IT zelf de nodige gegevens heeft ontvangen om de bedrijven te kunnen contacteren.
Om niet te suggereren dat Fox-IT fouten heeft gemaakt hebben we enkele alinea’s uit het artikel gewijzigd om het correcte verloop van de feiten weer te geven.
Fout opgemerkt of meer nieuws? Meld het hier