Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1602

van Rik Daems (Open Vld) d.d. 5 mei 2022

aan de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, de Federale Culturele Instellingen, toegevoegd aan de Eerste minister

Citrix - Ernstige kwetsbaarheid - Veiligheidsrisico's - Hacking - Servers en computers - Ondernemingen - Overheids- en veiligheidsdiensten - Beveiliging - Richtlijnen - Maatregelen

informatiebeveiliging
informatieoorlog
computercriminaliteit
computerprogramma

Chronologie

5/5/2022Verzending vraag (Einde van de antwoordtermijn: 9/6/2022)
9/6/2022Antwoord

Ook gesteld aan : schriftelijke vraag 7-1600
Ook gesteld aan : schriftelijke vraag 7-1601

Vraag nr. 7-1602 d.d. 5 mei 2022 : (Vraag gesteld in het Nederlands)

Op 17 december 2019 maakte Citrix een kwetsbaarheid in zijn software bekend en nam het bedrijf tijdelijke maatregelen om de risico's te beperken. Nog voordat de vele duizenden Citrix-gebruikende organisaties doordrongen waren van de acute risico's en de tijdelijke maatregelen hadden geïnstalleerd, waren aanvallers binnengedrongen in systemen (cf. https://www.onderzoeksraad.nl/nl/page/19862/fundamenteel-ingrijpen-is-nodig-voor-nederlandse-digitale-veiligheid).

Het betrof een zeer ernstige kwetsbaarheid van «Citrix ADC» en «Citrix Gateway» servers, voorheen bekend als «Citrix Netscaler». Deze kwetsbaarheid werd qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10 (cf. https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen). Dit zou in potentie een risico betekenen voor de netwerken van 80 000 bedrijven in 158 landen. De top vijf van landen met dergelijke organisaties wordt aangevoerd door de Verenigde Staten, maar ook het Verenigd Koninkrijk, Duitsland, Nederland en Australië staan in dat rijtje.

Als de kritieke kwetsbaarheid wordt uitgebuit, kunnen aanvallers zich via het internet direct toegang verschaffen tot het lokale netwerk van een bedrijf en daarvoor zijn geen accounts of authenticatie nodig, aldus Positive Technologies. Het uitbuiten van de kwetsbaarheid maakt het voor een aanvaller mogelijk om willekeurige code uit te laten voeren (cf. https://tweakers.net/nieuws/161500/citrix-kwetsbaarheid-vormt-risico-voor-netwerken-van-80000-bedrijven.html).

Positive Technologies, dat zich specialiseert in digitale veiligheidsexpertise, zegt dat Citrix-applicaties wijdverspreid zijn in bedrijfsnetwerken. Ze worden onder meer ingezet om medewerkers via het internet toegang te geven tot de interne bedrijfsapplicaties. De kwetsbaarheid maakt het voor een onbevoegde niet alleen mogelijk om toegang te krijgen tot gepubliceerde applicaties, maar ook andere bronnen van het interne bedrijfsnetwerk zijn kwetsbaar via de Citrix-server.

In tussentijd heeft Citrix zelf een geactualiseerde versie beschikbaar gesteld die deze veiligheidsproblemen zouden moeten oplossen (cf. https://www.security.nl/posting/729529/Citrix+verhelpt+kritieke+dos-kwetsbaarheid+in+ADC+en+Gateway). De vraag is in hoeverre zowel bedrijven als organisaties reeds deze geactualiseerde versie hebben geïmplementeerd. Zoniet blijven de netwerken uiterst kwetsbaar.

Wat betreft het transversaal karakter van de schriftelijke vraag: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Bent u zich bewust van het mogelijke veiligheidsprobleem met de software van het merk Citrix? Indien ja, zijn er reeds stappen genomen om dit te verhelpen?

2) Gebruikt men binnen onze overheids- en veiligheidsdiensten de diensten van de bovengenoemde fabrikant? Indien ja, hoeveel computers, servers of accounts maken hiervan gebruik?

3) Zijn er reeds richtlijnen omtrent het vervangen of het actualiseren van dergelijke plots onveilig blijkende software? Welke instructies krijgt men mee? Wat is er al reeds gedaan? Indien ja, hoeveel bedroegen de kosten?

4) Zijn er reeds klachten binnengekomen van zowel privépersonen of diensten die gebruik maken van deze software? Indien ja, hoeveel in de voorbije drie jaar? Zijn er ook reeds meldingen binnengekomen omtrent computerkraken en indringers die binnendringen op servers of computers en dergelijke met Citrix-software, specifiek omwille van de zwaktes die de systemen vertonen zonder de veiligheidsupdate? Zo ja, hoeveel en waar?

5) Bent u bereid snel op te treden gezien het risico voor veel instellingen? Zo ja, welke stappen zullen gezet worden? Indien neen, hoe voorkomt u dat het gebruik van dergelijke software een veiligheidsprobleem kan veroorzaken?

Antwoord ontvangen op 9 juni 2022 :

1) & 5) De afdeling Cyber Threat Research and Intelligence Sharing (CyTRIS) van het CCB houdt voortdurend de ontwikkeling van nieuwe kwetsbaarheden in de gaten. Algemeen treedt het CCB op door de kwetsbare systemen die worden uitgebuit op te sporen en zo mogelijk te identificeren, en de betrokken organisaties onmiddellijk op de hoogte te brengen (bijvoorbeeld via zijn website en sociale media) van de kwetsbaarheid en de oplossing.

Specifiek werden er ook problemen met Citrix Netscaler (bekend als CVE-2019-19781) vastgesteld, die als ernstig worden beschouwd.

Er is een waarschuwing gepubliceerd met het nodige advies over hoe om te gaan met de kwetsbaarheid: https://cert.be/nl/alert/waarschuwing-belangrijke-kwetsbaarheid-citrix-adc. Alle overheidsdiensten en kritieke organisaties zijn door het CCB op de hoogte gebracht van het risico op kwetsbaarheden.

In januari 2020 werden in België 703 kwetsbare systemen geïdentificeerd. Daarvan konden 402 systemen technisch worden geïdentificeerd.

Een e-mail met uitleg over de Citrix-kwetsbaarheid en mogelijke technische oplossingen werd gestuurd naar de 402 organisaties die als kwetsbaar waren geïdentificeerd als gevolg van het Citrix-probleem.

Eind januari 2020 stelde het CCB vast dat nog slechts 159 systemen kwetsbaar waren. Dit betekent dat 544 organisaties in België de nodige technische maatregelen hebben genomen om de Citrix-kwetsbaarheid te verhelpen.

2) Ik beschik momenteel niet over de cijfers om hierop te antwoorden. Aangezien de software en hardware die bij de overheid en de veiligheidsdiensten wordt gebruikt onder de verantwoordelijkheid valt van elke dienst afzonderlijk zou daarvoor elk dienst apart moeten aangeschreven worden.

3) Dergelijke incidenten doen zich regelmatig voor. De software hoeft niet specifiek te worden vervangen, maar er is wel een beveiligingsupdate van de fabrikant nodig. In principe zijn er geen kosten verbonden aan de update. Als de softwareversie echter te oud is of als er geen onderhoudscontract is, zal er geen patch worden verstrekt en zal het systeem moeten worden vervangen.

4) Voor zover ik weet, hebben we geen concrete cijfers over cyberincidenten waarbij Citrix als infectievector werd gebruikt. Niet alle gebruikers melden hun cyberincidenten aan het CCB.