Overheid waarschuwt gebruikers van Citrix-systemen

Schakel Citrix-systemen uit waar dat kan of tref aanvullende maatregelen. Dat is het advies van het Nationaal Cyber Security Center. Een beetje mosterd na de maaltijd, want het veelbesproken veiligheidslek was al in december bekend, maar werd uit de publiciteit gehouden.

Het NCSC raadt aan om Citrix ADC en Citrix Gateway servers uit te schakelen, als niet voor donderdag 9 januari 2020 door Citrix geadviseerde mitigerende maatregelen zijn getroffen. Wanneer het door het uitschakelen van de Citrix ADC en Citrix Gateway servers niet meer mogelijk is om het primaire proces/taak uit te voeren dient het belang van continuïteit van primaire processen afgewogen te worden tegen eventuele schade, aldus het NTSC. In dat geval adviseert het NCSC met klem om dan wel aanvullende maatregelen te treffen en intensief te monitoren. Dit ter aanvulling op de maatregelen die Citrix op haar website adviseert.

Aanvullende mitigerende maatregelen
Mocht het upgraden van de Citrix-server niet mogelijk zijn en moet het netwerk via internet bereikbaar blijven, dan raadt het NCSC aan onderstaande aanvullende maatregelen toe te passen:

IP-whitelisting
Het alleen toestaan van verbindingen van bekende ip-adressen is zeer effectief tegen aanvallers van buitenaf. Dit vereist echter een intensieve beheerinspanning die toeneemt met de omvang van de organisatie.

Webapplicatiefirewall instellen
Door de Citrix-server achter een webapplicatiefirewall te plaatsen is het mogelijk om filterregels toe te passen die het lastiger kunnen maken voor een kwaadwillende om een aanval uit te voeren.

Clientcertificaten toepassen
Door authenticatie met clientcertificaten te verplichten kan een ongeauthentiseerde kwaadwillende de aanval niet uitvoeren. Het aanmaken en verspreiden van deze certificaten is echter wel een omvangrijke onderneming.

Poort aanpassen
Door het aanpassen van de poort waarop de dienst beschikbaar is, wordt de kans kleiner dat een aanvaller na brede internetscans de server vindt. Dit betekent dat deze nieuwe poort door alle eindgebruikers ingesteld moet worden. Dit vereist communicatie en kan een zwaardere last op de helpdesk opleveren. Let op dat het aanpassen van de poort alleen bescherming biedt tegen ontdekking via brede scans en geen bescherming tegen de aanval als de server toch gevonden wordt. Bovendien zijn er inmiddels waarschijnlijk al diverse scans uitgevoerd en is de kans aanwezig dat uw server al is geïdentificeerd door kwaadwillenden.

Gedeeld

Geef een reactie