Veel gemeenten hebben uit voorzorg de externe toegang tot hun Citrix-netwerk tijdelijk afgesloten. De technologie voor onder meer thuiswerken, bevat kwetsbaarheden. Het officiële advies luidt: ‘Schakel Citrix-systemen uit waar dat kan of tref aanvullende maatregelen.’
Deze instructie geeft het Nationaal Cyber Security Centrum (NCSC) sinds vrijdagavond. Eerder die dag werd geadviseerd de systemen ‘afhankelijk van de impact’ uit te schakelen. Gemeenten maakten op basis daarvan verschillende afwegingen. Maar als ze niet vrijdag of eerder al de stekker eruit trokken, gebeurde dat afgelopen weekeinde wel.
Amsterdam, Rotterdam en Den Haag en bijvoorbeeld namen de aansporing ter harte. Naast het thuiswerken wordt ook de dienstverlening geraakt: in sommige plaatsen is het niet mogelijk online een begrafenis of crematie door te geven, aldus persbureau ANP. Tilburgers kunnen even geen meldingen over de buitenruimte doorgeven of online afspraken.
Ook veel andere (overheids)organisaties hebben te maken met de problemen. De nationale experts op het gebied van cybersecurity doen nog nader onderzoek.
Update Citrix ADC en Gateway server kwetsbaarheid: NCSC doet onderzoek naar mogelijk aanvullend handelingsperspectief. Wij geven hierover morgen (zondag) meer informatie. NCSC benadrukt het eerder gegeven advies. https://t.co/1tkTblnQL5 #CyberSecurity
— NCSC-NL (@ncsc_nl) January 18, 2020
Alleen een lapmiddel
In de beveiliging van Citrix-programma’s werd in december al een grote fout ontdekt. Daarvoor is nog geen definitieve oplossing beschikbaar. Citrix heeft wel een lapmiddel ontwikkeld om de kans op een aanval te verkleinen, maar dat blijkt niet altijd goed te werken. ‘Daarom heeft de gemeente preventief besloten de Citrix-omgeving af te sluiten,’ meldt de Amsterdamse wethouder Touria Meliani.
Volgens security-expert Ronald Prins heeft Citrix niet de juiste procedures gevolgd voor het melden van de kwetsbaarheid. Daardoor zijn de problemen nu wellicht onnodig groot.
“Het is wel degelijk een bijzonder probleem”, zegt cybersecurity-expert Ronald Prins over het lek bij #Citrix. “Citrix loste het probleem aanvankelijk maar half op, en bracht dat naar buiten. Kwaadwillenden konden daardoor het precieze probleem achterhalen.” pic.twitter.com/9wxipMvhk1
— Nieuwsuur (@Nieuwsuur) January 18, 2020
Geen onbevoegden op netwerk
Door het gat in Citrix zouden kwaadwillenden eenvoudig toegang kunnen krijgen tot gevoelige gegevens. Maar aanwijzingen of meldingen dat onbevoegden de gemeentelijke systemen wisten binnen te komen, lijken er momenteel niet te zijn. Zutphen detecteerde verdachte activiteit, maar wist indringers naar eigen zeggen buiten te houden.
Tal van gemeenten hebben Citrix uitgezet, met de nieuwe werkweek voor de boeg. Bekend zijn Leeuwarden, Arnhem, Amstelveen, Doetinchem, Baarn, Dronten, Meerssen, Achtkarspelen, Tytsjerksteradiel, Goirle, Halderberge, Gilze en Rijen, Baarle-Nassau, Beek, Waalwijk, Medemblik en Heerde. Andere gemeenten, zoals Utrecht, hebben nergens last van omdat ze geen Citrix gebruiken.
Maandag update
Op zijn vroegst maandag wordt een update uitgevoerd die de kwetsbaarheden definitief moet oplossen, meldt het bedrijf op zijn Engelstalige site. Dat lijkt dan nog slechts voor een deel van de klanten het geval te zijn. In totaal zouden duizenden Nederlandse bedrijven, overheidsdiensten, onderwijsinstellingen en organisaties de klos zijn. De fout zit hem in twee diensten: de Application Delivery Controller en de Gateway.
