SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
5 mai 2022 5 mei 2022
________________
Question écrite n° 7-1602 Schriftelijke vraag nr. 7-1602

de Rik Daems (Open Vld)
van Rik Daems (Open Vld)

au secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, des Institutions culturelles fédérales, adjoint au Premier ministre
aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, de Federale Culturele Instellingen, toegevoegd aan de Eerste minister
________________
Citrix - Grave vulnérabilité - Risques en matière de sécurité - Piratage - Serveurs et ordinateurs - Entreprises - Services publics et de sécurité - Protection - Directives - Mesures Citrix - Ernstige kwetsbaarheid - Veiligheidsrisico's - Hacking - Servers en computers - Ondernemingen - Overheids- en veiligheidsdiensten - Beveiliging - Richtlijnen - Maatregelen 
________________
sécurité des systèmes d'information
guerre de l'information
criminalité informatique
logiciel
informatiebeveiliging
informatieoorlog
computercriminaliteit
computerprogramma
________ ________
5/5/2022Verzending vraag
(Einde van de antwoordtermijn: 9/6/2022)
9/6/2022Antwoord
5/5/2022Verzending vraag
(Einde van de antwoordtermijn: 9/6/2022)
9/6/2022Antwoord
________ ________
Ook gesteld aan : schriftelijke vraag 7-1600
Ook gesteld aan : schriftelijke vraag 7-1601		 Ook gesteld aan : schriftelijke vraag 7-1600
Ook gesteld aan : schriftelijke vraag 7-1601
________ ________
Question n° 7-1602 du 5 mai 2022 : (Question posée en néerlandais) Vraag nr. 7-1602 d.d. 5 mei 2022 : (Vraag gesteld in het Nederlands)

Le 17 décembre 2019, l'entreprise Citrix a divulgué une vulnérabilité dans ses logiciels et a pris des mesures temporaires pour limiter les risques. Avant même que les dizaines de milliers d'organisations utilisant Citrix se rendent compte du danger pressant et installent des mesures provisoires, des pitates s'étaient introduits dans les systèmes (voir https://www.onderzoeksraad.nl/nl/page/19862/fundamenteel ingrijpen is nodig voor nederlandse digitale veiligheid).

Il s'agissait d'une vulnérabilité très grave des solutions serveurs «Citrix ADC» et «Citrix Gateway», anciennement connue sous le nom de «Citrix Netscaler». Sur une échelle de 1 à 10, cette vulnérabilité a été notée à 9,8 en termes de gravité (voir https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele nederlandse citrix servers kwetsbaar voor aanvallen). Elle représenterait un risque potentiel pour les réseaux de 80 000 entreprises établies dans 158 pays. Les États-Unis sont en tête du top 5 des pays comptant le plus d'organisations concernées, suivis par le Royaume-Uni, l'Allemagne, les Pays-Bas et l'Australie.

En exploitant la vulnérabilité critique, les pirates peuvent avoir accès, via internet, au réseau local d'une entreprise sans avoir besoin de compte ni d'authentification, selon la société Positive Technologies spécialisée dans l'expertise de sécurité numérique. Ils peuvent ainsi exécuter du code arbitraire (voir https://tweakers.net/nieuws/161500/citrix kwetsbaarheid vormt risico voor netwerken van 80000 bedrijven.html).

Positive Technologies déclare que les applications Citrix sont largement répandues dans les réseaux d'entreprises. Elles sont utilisées notamment pour permettre aux collaborateurs d'accéder via internet aux applications internes de l'entreprise. Non seulement la vulnérabilité permet à une personne non autorisée d'accéder aux applications publiées, mais elle expose aussi d'autres sources du réseau interne de l'entreprise via le serveur Citrix.

Entre-temps, Citrix a mis à disposition une version actualisée censée résoudre ces problèmes de sécurité (voir https://www.security.nl/posting/729529/Citrix+verhelpt+kritieke+dos kwetsbaarheid+in+ADC+en+Gateway). La question est de savoir dans quelle mesure tant les entreprises que les organisations ont déjà implémenté cette version actualisée, faute de quoi leurs réseaux demeurent extrêmement vulnérables.

Quant au caractère transversal de la présente question écrite: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.

Je souhaiterais dès lors vous poser les questions suivantes:

1) Êtes-vous conscient(e) du problème de sécurité potentiel qui est lié aux logiciels de la marque Citrix? Si oui, des mesures ont-elles déjà été prises pour y remédier?

2) Les solutions du fabricant en question sont-elles utilisées dans nos services publics et de sécurité? Si oui, combien d'ordinateurs, de serveurs et de comptes en font usage?

3) Y a-t-il déjà des directives concernant le remplacement ou l'actualisation de ces logiciels qui se révèlent soudainement dangereux? Quelles instructions reçoit-on? A-t-on déjà entrepris quelque chose à cet égard et, si oui, quel est le montant des coûts?

4) A-t-on déjà reçu des plaintes de particuliers ou de services qui utilisent ces logiciels? Si oui, combien au cours des trois dernières années? A-t-on déjà signalé des cas de piratage d'ordinateurs et d'intrusion sur des serveurs, ordinateurs et autres utilisant les logiciels Citrix, précisément à cause des faiblesses que présentent les systèmes sans la mise à jour de sécurité? Si oui, combien et où?

5) Êtes-vous disposé(e) à agir rapidement, eu égard au risque pour de nombreuses institutions? Si oui, quelles mesures seront prises? Si non, comment empêchez-vous que l'utilisation de ces logiciels n'entraîne un problème de sécurité?

 

Op 17 december 2019 maakte Citrix een kwetsbaarheid in zijn software bekend en nam het bedrijf tijdelijke maatregelen om de risico's te beperken. Nog voordat de vele duizenden Citrix-gebruikende organisaties doordrongen waren van de acute risico's en de tijdelijke maatregelen hadden geïnstalleerd, waren aanvallers binnengedrongen in systemen (cf. https://www.onderzoeksraad.nl/nl/page/19862/fundamenteel-ingrijpen-is-nodig-voor-nederlandse-digitale-veiligheid).

Het betrof een zeer ernstige kwetsbaarheid van «Citrix ADC» en «Citrix Gateway» servers, voorheen bekend als «Citrix Netscaler». Deze kwetsbaarheid werd qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10 (cf. https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen). Dit zou in potentie een risico betekenen voor de netwerken van 80 000 bedrijven in 158 landen. De top vijf van landen met dergelijke organisaties wordt aangevoerd door de Verenigde Staten, maar ook het Verenigd Koninkrijk, Duitsland, Nederland en Australië staan in dat rijtje.

Als de kritieke kwetsbaarheid wordt uitgebuit, kunnen aanvallers zich via het internet direct toegang verschaffen tot het lokale netwerk van een bedrijf en daarvoor zijn geen accounts of authenticatie nodig, aldus Positive Technologies. Het uitbuiten van de kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren (cf. https://tweakers.net/nieuws/161500/citrix-kwetsbaarheid-vormt-risico-voor-netwerken-van-80000-bedrijven.html).

Positive Technologies, dat zich specialiseert in digitale veiligheidsexpertise, zegt dat Citrix-applicaties wijdverspreid zijn in bedrijfsnetwerken. Ze worden onder meer ingezet om medewerkers via het internet toegang te geven tot de interne bedrijfsapplicaties. De kwetsbaarheid maakt het voor een onbevoegde niet alleen mogelijk om toegang te krijgen tot gepubliceerde applicaties, maar ook andere bronnen van het interne bedrijfsnetwerk zijn kwetsbaar via de Citrix-server.

In tussentijd heeft Citrix zelf een geactualiseerde versie beschikbaar gesteld die deze veiligheidsproblemen zouden moeten oplossen (cf. https://www.security.nl/posting/729529/Citrix+verhelpt+kritieke+dos-kwetsbaarheid+in+ADC+en+Gateway). De vraag is in hoeverre zowel bedrijven als organisaties reeds deze geactualiseerde versie hebben geïmplementeerd. Zoniet blijven de netwerken uiterst kwetsbaar.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Bent u zich bewust van het mogelijke veiligheidsprobleem met de software van het merk Citrix? Indien ja, zijn er reeds stappen genomen om dit te verhelpen?

2) Gebruikt men binnen onze overheids- en veiligheidsdiensten de diensten van de bovengenoemde fabrikant? Indien ja, hoeveel computers, servers of accounts maken hiervan gebruik?

3) Zijn er reeds richtlijnen omtrent het vervangen of het actualiseren van dergelijke plots onveilig blijkende software? Welke instructies krijgt men mee? Wat is er al reeds gedaan? Indien ja, hoeveel bedroegen de kosten?

4) Zijn er reeds klachten binnengekomen van zowel privépersonen of diensten die gebruik maken van deze software? Indien ja, hoeveel in de voorbije drie jaar? Zijn er ook reeds meldingen binnengekomen omtrent computerkraken en indringers die binnendringen op servers of computers en dergelijke met Citrix-software, specifiek omwille van de zwaktes die de systemen vertonen zonder de veiligheidsupdate? Zo ja, hoeveel en waar?

5) Bent u bereid snel op te treden gezien het risico voor veel instellingen? Zo ja, welke stappen zullen gezet worden? Indien neen, hoe voorkomt u dat het gebruik van dergelijke software een veiligheidsprobleem kan veroorzaken?

 
Réponse reçue le 9 juin 2022 : Antwoord ontvangen op 9 juni 2022 :

1) & 5) Le département de recherche et de partage de renseignements sur les cybermenaces (CyTRIS – Cyber Threat Research and Intelligence Sharing) du CCB surveille en permanence l’évolution des nouvelles vulnérabilités. De façon générale, le CCB réagit en détectant et, si possible, en identifiant les systèmes vulnérables exploités et en informant (par exemple via son site web et les médias sociaux) immédiatement les organisations concernées de cette vulnérabilité et de la solution.

Plus spécifiquement, les problèmes avec Citrix Netscaler (connus sous le numéro CVE-2019-19781) ont également été constatés et considérés comme sérieux.

Un avertissement contenant les conseils nécessaires sur la manière de traiter la vulnérabilité a été publié: https://cert.be/fr/alert/avertissement-vulnerabilite-critique-pour-le-logiciel-adc-de-citrix. Tous les services publics et les organisations d’importance vitale ont été informés des risques de vulnérabilités par le CCB.

En janvier 2020, 703 systèmes vulnérables ont été répertoriés en Belgique. Parmi ceux-ci, 402 systèmes ont pu être identifiés techniquement.

Un courriel expliquant la vulnérabilité de Citrix et les solutions techniques possibles a été envoyé à ces 402 organisations identifiées comme vulnérables en raison du problème Citrix.

À la fin du mois de janvier 2020, le CCB a déterminé que seuls 159 systèmes étaient encore vulnérables. Cela signifie que 544 organisations en Belgique ont pris les mesures techniques nécessaires pour résoudre la vulnérabilité de Citrix.

2) Je ne dispose actuellement pas de chiffres pour répondre à cette question. Vu que les logiciels et matériels utilisés au sein du gouvernement et des services de sécurité tombent sous la responsabilité de chacun de ces services individuellement, cela nécessiterait de solliciter chaque service à part.

3) Des incidents de ce type se produisent régulièrement. Le logiciel n’a pas spécialement besoin d’être remplacé, mais il nécessite une mise à jour de sécurité fournie par le fabricant. En principe, la mise à jour n’entraîne aucun coût. Toutefois, si la version du logiciel est trop ancienne ou s’il n’y a pas de contrat de maintenance, aucun correctif ne sera fourni et le système devra être remplacé.

4) À ma connaissance, nous ne disposons pas de chiffres concrets sur les cyberincidents où Citrix a été utilisé comme vecteur d’infection. Tous les utilisateurs ne font pas remonter leurs cyberincidents vers le CCB.

1) & 5) De afdeling Cyber Threat Research and Intelligence Sharing (CyTRIS) van het CCB houdt voortdurend de ontwikkeling van nieuwe kwetsbaarheden in de gaten. Algemeen treedt het CCB op door de kwetsbare systemen die worden uitgebuit op te sporen en zo mogelijk te identificeren, en de betrokken organisaties onmiddellijk op de hoogte te brengen (bijvoorbeeld via zijn website en sociale media) van de kwetsbaarheid en de oplossing.

Specifiek werden er ook problemen met Citrix Netscaler (bekend als CVE-2019-19781) vastgesteld, die als ernstig worden beschouwd.

Er is een waarschuwing gepubliceerd met het nodige advies over hoe om te gaan met de kwetsbaarheid: https://cert.be/nl/alert/waarschuwing-belangrijke-kwetsbaarheid-citrix-adc. Alle overheidsdiensten en kritieke organisaties zijn door het CCB op de hoogte gebracht van het risico op kwetsbaarheden.

In januari 2020 werden in België 703 kwetsbare systemen geïdentificeerd. Daarvan konden 402 systemen technisch worden geïdentificeerd.

Een e-mail met uitleg over de Citrix-kwetsbaarheid en mogelijke technische oplossingen werd gestuurd naar de 402 organisaties die als kwetsbaar waren geïdentificeerd als gevolg van het Citrix-probleem.

Eind januari 2020 stelde het CCB vast dat nog slechts 159 systemen kwetsbaar waren. Dit betekent dat 544 organisaties in België de nodige technische maatregelen hebben genomen om de Citrix-kwetsbaarheid te verhelpen.

2) Ik beschik momenteel niet over de cijfers om hierop te antwoorden. Aangezien de software en hardware die bij de overheid en de veiligheidsdiensten wordt gebruikt onder de verantwoordelijkheid valt van elke dienst afzonderlijk zou daarvoor elk dienst apart moeten aangeschreven worden.

3) Dergelijke incidenten doen zich regelmatig voor. De software hoeft niet specifiek te worden vervangen, maar er is wel een beveiligingsupdate van de fabrikant nodig. In principe zijn er geen kosten verbonden aan de update. Als de softwareversie echter te oud is of als er geen onderhoudscontract is, zal er geen patch worden verstrekt en zal het systeem moeten worden vervangen.

4) Voor zover ik weet, hebben we geen concrete cijfers over cyberincidenten waarbij Citrix als infectievector werd gebruikt. Niet alle gebruikers melden hun cyberincidenten aan het CCB.