- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: Lessons learned from Citrix software vulnerabilities
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Lessons learned from Citrix software vulnerabilities
Citrix maakt software waarmee onder andere werknemers op afstand kunnen inloggen in de ICT-systemen van hun werkgever. Deze software vormt vaak een belangrijk onderdeel van de digitale infrastructuur, omdat het de koppeling vormt tussen het externe netwerk (internet) en het interne netwerk. Vrijwel alle organisaties in Nederland gebruiken dergelijke software, zowel overheden, bedrijven als andere instellingen. Denk bijvoorbeeld aan de rijksoverheid en decentrale overheden zoals gemeenten, maar ook ziekenhuizen, onderwijsinstellingen, vitale en andersoortige organisaties. Zo werd de Citrix-software uit dit onderzoek gebruikt door 80% van de rijksoverheidsorganisaties en twee-derde van gemeenten en provincies.
Het voorval met Citrix-software en de andere voorvallen die dit rapport analyseert laten zien dat de urgentie en omvang van digitale onveiligheid toeneemt. Nederland is één van de meest gedigitaliseerde landen ter wereld. Software vervult een centrale rol in het functioneren van digitale systemen van organisaties, maar bevat ook kwetsbaarheden. De digitalisering gaat daardoor gepaard met steeds grotere risico’s voor organisaties die afhankelijk zijn van software.
Doordat de meeste organisaties niet naar buiten treden als ze zijn aangevallen, is het totale aantal getroffenen van de voorvallen onbekend, maar in potentie groot. Zo waren er toen de aanvallen via Citrix-software in januari 2020 begonnen nog ruim 500 servers van organisaties, waar aanvallers relatief eenvoudig konden binnendringen. Bekend zijn dat een gemeente, ziekenhuis en verschillende overheidsorganisaties getroffen waren. Daarnaast hebben veel overheidsinstellingen en bedrijven hun servers uitgezet op advies van het NCSC. In juli 2020 bleek dat zeker 25 Nederlandse servers nog steeds waren binnengedrongen.
Ook voor de andere software producten is niet bekend hoe veel aanvallers langs die weg zijn binnengedrongen. Wel hebben aanvallers langs die weg honderdduizenden inloggegevens verzameld en gepubliceerd. De recentere aanvallen via SolarWinds, Kaseya en Microsoft Exchange hebben naar schatting duizenden organisaties wereldwijd getroffen, waaronder een Zweedse supermarktketen en een Nederlandse logistieke dienstverlener voor een supermarktketen.
Sinds 2020 is wereldwijd een toename van cyberaanvallen waarneembaar: van zogenoemde ‘ransomware’ tot economische spionage en (voorbereiding op) sabotage. Aanvallers misbruiken nog altijd de kwetsbaarheden die in dit rapport zijn geanalyseerd voor het uitvoeren van aanvallen. Er komen bovendien steeds nieuwe kwetsbaarheden bij. Softwarekwetsbaarheden vormen daarom een steeds urgentere en grotere dreiging voor de digitale en de fysieke veiligheid.
Voorvallen
Door de kwetsbaarheid in Citrix-software konden onbevoegde gebruikers zich toegang verschaffen tot alle onderdelen van de server waarop deze software werkte. Citrix vernam dat de methode om de kwetsbaarheid te misbruiken al werd verspreid. Doordat de kwetsbaarheid in veel versies van de software zat, zou het lang duren voor de fabrikant een definitieve veiligheidsupdate kon uitbrengen. Om die reden besloot hij om eerst tijdelijke mitigerende maatregelen te publiceren. Uit deze tijdelijke maatregelen konden aanvallers afleiden wat de kwetsbaarheid was en hoe zij deze konden misbruiken voor een aanval. Naast het publiceren van de kwetsbaarheid en de mitigerende maatregel op zijn website zette de fabrikant zich in om zoveel mogelijk klanten wereldwijd rechtstreeks te waarschuwen. De fabrikant kon niet alle afnemers bereiken omdat hij niet beschikte over alle contactgegevens.
Zowel fabrikant Citrix als beveiligingsonderzoekers van de vrijwilligersorganisatie Dutch Institute for Vulnerability Disclosure (DIVD) verzamelden in de eerste maanden na de ontdekking van de kwetsbaarheid informatie over welke Nederlandse organisaties op hun servers nog kwetsbare software gebruikten, en daardoor risico liepen om aangevallen te worden. Citrix en het DIVD deelden hun informatie met het NCSC, onderdeel van het ministerie van Justitie en Veiligheid (JenV), in de verwachting dat die de kwetsbare organisaties zou waarschuwen. Het NCSC waarschuwde in de praktijk alleen de rijksoverheid en vitale aanbieders; niet de grote groep kwetsbare organisaties daarbuiten. Het NCSC, dat in Nederland functioneert als nationaal aanspreekpunt, beschikt niet over de verantwoordelijkheden en bevoegdheden om dat te kunnen waarmaken.
Halverwege januari 2020 escaleerde de situatie en het risico in Nederland maatschappelijk en bestuurlijk: er werd opgeschaald naar de nationale crisisstructuur, het NCSC adviseerde organisaties aanvankelijk om te overwegen hun Citrix-servers indien mogelijk uit te zetten, en er waren vragen vanuit organisaties over de te nemen maatregelen. Tegelijkertijd ontstond er onduidelijkheid over de effectiviteit van de maatregelen.
Naar aanleiding van een inlichtingenbericht en beveiligingsadvies van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en Algemene Inlichtingen- en Veiligheidsdienst (AIVD) besloten de ministers van JenV, Binnenlandse Zaken en Koninkrijksrelaties (BZK) in samenspraak met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat het NCSC het dringende advies moest uitbrengen om Citrix-servers uit te zetten (‘comply or explain’). Organisaties moesten zelf een afweging maken tussen het risico op een aanval en de mogelijke gevolgen van het uitzetten van hun servers. Ze kregen daarbij niet alle benodigde en beschikbare informatie om deze risicoafweging te kunnen maken: of ze zelf een kwetsbare server hadden en wat de aard van de dreiging was.
Omvang en urgentie nemen toe
Kwetsbaarheden in software zijn nog altijd een veelgebruikte route waarlangs aanvallers binnendringen in de systemen van organisaties. Organisaties hebben steeds minder tijd om kwetsbaarheden te verhelpen voordat servers wereldwijd worden aangevallen. Daarnaast kunnen aanvallers organisaties ook direct of indirect raken door hun ketenpartners aan te vallen (binnen te dringen via de zwakste schakel van omringende klanten en afnemers).
De onderzochte voorvallen vertonen een aantal opvallende overeenkomsten. Zo zijn organisaties, en de mensen die van deze organisaties afhankelijk zijn, blootgesteld aan digitale onveiligheid doordat zij kwetsbare software gebruiken. De wijze waarop fabrikanten, organisaties die de software gebruikten en incidentbestrijders op de voorvallen reageerden laten zien dat de incidentbestrijding nog geen sluitende, vanzelfsprekende, systematisch ingebouwde reflex is. De voorvallen illustreren elk dat waarschuwingen deze organisaties in veel gevallen niet bereiken. Alle door de Onderzoeksraad onderzochte voorvallen laten zien dat (vrijwillige) beveiligings- onderzoekers een cruciale rol spelen in de incidentbestrijding.
Belemmeringen op systeemniveau
Veilige software is het resultaat van een continu verbeterproces in een netwerk van verantwoordelijke partijen die ieder daadwerkelijk hun eigen verantwoordelijkheid nemen, en die in effectieve structuren op basis van onderling vertrouwen met elkaar samenwerken. De analyse van de voorvallen geeft aanleiding om belemmeringen op systeemniveau te adresseren. Daar volgt een aantal lessen uit.
Kwetsbaarheden in software ontstaan tijdens levenscyclus product
De voorvallen die de Onderzoeksraad onderzocht laten zien dat het gebruik van software inherent onveilig is: als een organisatie software gebruikt gaat dit altijd gepaard met risico’s. Het is in de praktijk onmogelijk om software te maken die geen kwetsbaarheden bevat. Hoe kan dit, en wie kan op welke wijze bijdragen aan het verminderen van de inherente onveiligheid?
Kwetsbaarheden in software ontstaan bij de ontwikkeling en tijdens de levenscyclus van een product. De softwarefabrikant bouwt voort op een bestaand product door nieuwe functies toe te voegen, waardoor de software complexer wordt. Ook de gebruikte programmeertaal, het hergebruik van reeds bestaande onderdelen en (inconsistente) lagen in de software-architectuur kunnen kwetsbaarheden introduceren. De risico’s van deze kwetsbaarheden nemen toe als het product in de loop van de tijd anders wordt gebruikt en daarbij een meer veiligheidskritische rol krijgt in digitale systemen.
(Veiligheids)problemen die het gevolg zijn van fundamentele keuzes in het product vormen voor de fabrikant een belemmering om kwetsbaarheden bij de wortel aan te pakken. Hiervoor is namelijk een investering nodig in de vorm van geld en capaciteit om het probleem op te lossen. De keuze van de fabrikant om in die situaties alleen de kwetsbaarheid te patchen (‘een pleister plakken’) met een update lost het achterliggende probleem niet op. Het inherente veiligheidsprobleem blijft.
Er zijn fabrikanten die ethische hackers met beloningen aansporen om te zoeken naar kwetsbaarheden in software. Fabrikanten sporen daarnaast zelf kwetsbaarheden op door verschillende testen uit te voeren. Daardoor worden veel kwetsbaarheden opgespoord, maar het is onwaarschijnlijk dat fabrikanten alle kwetsbaarheden vinden.
Kwetsbaarheden in software vormen steeds vaker een route voor aanvallers om digitale systemen van organisaties binnen te dringen. Het bekendmaken van kwetsbaarheden vormt daarmee een dilemma: het kan organisaties helpen zich beter te wapenen tegen mogelijk misbruik van de kwetsbaarheid, het kan aanvallers echter helpen om kwetsbare servers op te sporen en binnen te dringen. Dit onderstreept het belang van het tijdig verwerken van de veiligheidsupdates (patches) van fabrikanten. Maar veelvuldig patchen en mitigeren vormt tegelijkertijd een risico voor organisaties omdat dit kan leiden tot verstoringen in digitale systemen of kan zorgen voor nieuwe kwetsbaarheden. Organisaties moeten het besluit om te patchen daarom goed doordenken vanuit het specifieke ICT-landschap van hun organisatie. In sommige gevallen beginnen de aanvallen binnen enkele dagen na bekendmaking. Daardoor moet de organisatie in korte tijd reageren.
Aanschaf en gebruik van software door organisaties
De ongelijke verhouding tussen fabrikanten en afnemers van softwareproducten dwingt te weinig af dat fabrikanten zich inspannen om de veiligheidsrisico’s te beheersen. Op dit moment biedt wet- en regelgeving weinig mogelijkheden voor organisaties om fabrikanten te verplichten cybersecurity in hun producten te borgen. Afnemers weten niet altijd hoe ze zelf eisen moeten stellen en een fabrikant verantwoording moeten laten afleggen. Veel afnemers hebben bovendien niet de kennis en capaciteit om de juiste eisen te stellen en deze te controleren. Daarmee worden kwetsbaarheden in software een probleem van de afnemer. Het aanbieden van software vanuit de cloud verplaatst de verantwoordelijkheid om te patchen van de afnemer naar de fabrikant, maar gaat ook gepaard met nadelen voor afnemers zoals minder autonomie en privacy.
Wat betreft preventie en voorbereiding op incidenten is er verschil in de weerbaarheid van organisaties. Maatregelen vergen dat organisaties risicoafwegingen maken. Niet alle organisaties hebben de expertise en capaciteit om maatregelen voldoende uit te voeren, of onderkennen niet de urgentie om hier capaciteit op in te zetten. De overheid biedt geen collectief fundament dat organisaties helpt hun digitale weerbaarheid te vergroten of een (institutionele) infrastructuur dan wel netwerk waarin partijen gezamenlijk de digitale weerbaarheid versterken.
Incidentbestrijding
Bij het gebruik van software in organisaties ontstaan incidenten die zo snel mogelijk moeten worden bestreden. De incidentbestrijding in Nederland wordt momenteel echter belemmerd door het feit dat er geen nationale structuur bestaat die erin voorziet dat alle organisaties tijdig informatie over kwetsbaarheden in software ontvangen. In het bijzonder gaat het daarbij om informatie over welke systemen van welke organisaties kwetsbaar zijn en risico lopen om aangevallen te worden, zogenaamde ‘slachtofferinformatie’. Daardoor zou een organisatie, ook ongevraagd, gewaarschuwd kunnen worden wanneer haar systemen kwetsbaar zijn en zij risico loopt om te worden aangevallen.
Het NCSC ontvangt momenteel voor heel Nederland informatie van onder meer fabrikanten, NCSC’s in andere landen, inlichtingen- en veiligheidsdiensten en anderen. Het NCSC deelt deze slachtofferinformatie nu echter alleen met een selecte groep organisaties, niet met decentrale overheden en het merendeel van het Nederlandse bedrijfsleven en vanuit het uitgangspunt dat een organisatie vooraf toestemming geeft om te worden geïnformeerd.
Wel streeft de rijksoverheid er naar dat de informatie die NCSC wel wil delen beter wordt uitgewisseld via het zogenoemde Landelijk Dekkend Stelsel, waarin sectorale organisaties en (groepen) bedrijven ook op vrijwillige basis informatie met elkaar delen die cruciaal is voor het bestrijden van incidenten. Als het NCSC als nationaal aanspreekpunt informatie echter wel ontvangt maar niet volledig deelt, worden ook bij een volledig dekkend stelsel niet alle potentiële slachtoffers gewaarschuwd. Beveiligingsonderzoekers proberen dit hiaat op te vangen door – op vrijwillige basis – het Nederlandse internetdomein te scannen op kwetsbare servers en deze informatie te delen met partijen die kunnen waarschuwen. Dat is echter een kwetsbare situatie, omdat zij hierin niet werden gefaciliteerd: noch door de overheid, noch door andere betrokken partijen, waardoor hun structurele inzet niet is geborgd.
Leren van voorvallen
Om de veiligheid te kunnen verbeteren is het belangrijk om te onderzoeken wat er gebeurde en welke factoren bijdroegen aan het ontstaan van voorvallen. Deze inzichten zijn nodig om te kunnen leren en zo de kans te verkleinen dat toekomstige voorvallen gebeuren en de gevolgen te beperken door sneller te reageren. De traditie om van voorvallen te leren is in het digitale domein nog in ontwikkeling. Organisaties moeten voorvallen met vitale aanbieders en datalekken melden. Toezichthouders doen op dit moment incidenteel onderzoek naar digitale voorvallen en geven aan nog niet in staat te zijn om samenhangende uitspraken te kunnen doen over hoe het gesteld is met de digitale veiligheid in vitale sectoren en processen. Een platform voor gezamenlijk leren door fabrikanten, organisaties die software gebruiken en andere relevante publieke en private partijen ontbreekt.
Er zijn verschillende belemmeringen bij het leren van digitale voorvallen. Zo komen veel organisaties er in de huidige praktijk niet voor uit dat ze zijn aangevallen, onder meer vanwege angst voor aansprakelijkheid en reputatieschade. Een andere belemmering om te kunnen leren van voorvallen is dat de onderzoeken niet de verklaringen bieden die nodig zijn om het systeem te verbeteren. Zo is het niet alleen relevant om te weten in hoeverre een organisatie de verwachte basismaatregelen had geïmplementeerd, maar ook om te begrijpen waardoor het komt dat het voor organisaties moeilijk is om weerstand te bieden tegen aanvallen. Tenslotte verspreiden organisaties de lessen uit voorvallen meestal niet buiten de eigen organisatie of gemeenschap.
Beleid en internationale context
Er is Europese regelgeving ontwikkeld gericht op incidentbestrijding, en verantwoording op het gebied van informatiebeveiliging voor de financiële sector. Binnenkort komt er ook regelgeving voor de toepassing van software in producten (Internet of Things). Voor software zelf is er behalve regulering voor bepaalde toepassingen nog geen internationaal kader. Een belemmering daarbij is dat kwetsbaarheden niet alleen een probleem zijn voor landen, maar dat landen ze zelf ook inzetten als middel bij hun eigen activiteiten zoals opsporing en inlichtingen. Daarnaast wordt internationale samenwerking belemmerd door ideologische verschillen, zoals hoe de staat zich verhoudt tot het internet en hoe aanvallers af te schrikken.