De laatste maanden zijn bedrijven en overheidsinstellingen getroffen door een ketting van kwetsbaarheden. Dit heeft geleid tot de oprichting van het Dutch Institute for Vulnerability Disclosure (DIVD) en het Nederlands Security Meldpunt. Tijdens de Round Table op 2 maart jl. te Breukelen wordt onder leiding van spreker Frank Breedijk besproken hoe bedrijven het beste kunnen omgaan met deze kwetsbaarheden. Snel distribueren zonder uitgebreid te testen lijkt het devies.
Lilian Boonstra (Sogeti) maakte onderstaand verslag van de Round Table op 2 maart te Breukelen met als thema: ‘Samen laten we niemand achter’.
Frank Breedijk opent de avond door te vertellen hoe in maart vorig jaar werd ontdekt dat de interne netwerken van honderden grote bedrijven en overheidsorganisaties wagenwijd open stonden. De bedrijven hadden een update, die een lek in de VPN-dienst van Pulse Secure dicht, niet geïnstalleerd.
Via het lek konden aanvallers bestanden uitlezen, wachtwoorden en gebruikersnamen achterhalen. Daarnaast konden hackers de VPN-verbinding gebruiken alsof ze bij het bedrijf werkten. Deze kwetsbaarheid bleek al maandenlang op vele VPN-verbindingen open te staan. Honderden bedrijven hadden daarmee een lekke VPN-dienst.
Patch – snel updaten
De leverancier Pulse Secure, één van de vier belangrijkste VPN-aanbieders met wereldwijd twintigduizend klanten, kwam snel met een oplossing en bracht in april 2019 een patch uit. Daarbij adviseerde Pulse Secure de bedrijven met klem om zo snel mogelijk te updaten. Het advies van snel patchen werd overgenomen en herhaald door het Nationaal Cyber Security Center (NCSC). Beveiligingsonderzoekers ontdekten echter dat de patch lang niet door alle bedrijven wordt geïnstalleerd. Tientallen bedrijven in Nederland bleken na maanden nog steeds kwetsbaar te zijn. Omdat NCSC de informatie van de betrokkenen (op basis van IP-adres) op basis van privacywetgeving niet mag delen, kon het bedrijven niet waarschuwen voor de kwetsbaarheid.
Een groep gemotiveerde (ethische) hackers heeft toen het DIVD opgericht. De stichting zette een website op om de informatie te delen en de bedrijven achter de betrokken IP-adressen actief te contacten.
Citrix kwetsbaarheid
Eind 2019 wordt de Citrix kwetsbaarheid ontdekt door een hacker. Vlak voor kerst wordt de kwetsbaarheid door Citrix zelf op vele bulletins gepubliceerd. Het blijkt om een software bug te gaan in een relatief simpel statement uit een verouderd stukje software. Een vergelijkbare bug komt al sinds 1995 (uit een zogenaamde Fax bug: Directory Transversal) met regelmaat terug in verschillende kwetsbaarheden. In de afgelopen 35 jaar is met enige regelmaat lekke software ontdekt en gepubliceerd. Deze lekken bleken gebaseerd op deze zelfde softwarefout waarmee je bestanden kon uitlezen.
Januari 2020 wordt duidelijk dat er software is gemaakt die de Citrix software uitbuit. Er is ook een partij die bevestigt dat ze de code hebben van deze ‘exploit software’. Het speciale aan deze Citrix kwetsbaarheid was dat er in de Netscaler producten nog een stukje verouderde software zat. Deze oude software was in een verouderde taal geschreven, slechts weinig programmeurs kenden deze taal nog.
Oprichting Nederlands Security Meldpunt
Opgemerkt wordt dat onze IT-landschappen groot en zijn complex geworden. Producenten kunnen niet meer garanderen dat ze alle componenten nog op hun inventarislijsten ‘in control’ kunnen houden. Breedijk vertelt dat men ook in zijn eigen omgeving wel eens 1 of 2 servers over het hoofd had gezien. Zo kwam hij tot de start van het Nederlands Security Meldpunt.
In de Citrix issues zat een combinatie van verschillende kwetsbaarheden. Het begon met een software fout waardoor je bestanden kon lezen. Later bleek er ook een ‘wildcard certificaat’ gebruikt te zijn. Juist omdat bedrijven vaak een certificaat voor meerdere servers gebruiken werd aangeraden om nu alle betrokken servers een nieuw certificaat te geven (als je nog weet welke dat waren).
Het Security Meldpunt kon vele domeinen niet bereiken en daarmee niet waarschuwen. Feitelijk wist men gewoon niet hoe contact kon worden opgenomen met deze domeinen. In de Citrix software bleek ook nog een hele oude security statement te zitten, een zgn. Freebsd8.4. Dit statement komt uit juni 2013, en is dus niet bepaald up to date.
Aansprakelijk voor missers?
Ondanks dat Citrix in deze hele affaire best wat steken heeft laten vallen, ging de koers toch naar boven. Tijdens de bijeenkomst wordt besproken dat het nog niet duidelijk is of Citrix ook aansprakelijk kan worden gesteld voor de schade van de diverse ‘missers’ (zeker in Nederland hebben veel bedrijven aardig wat schade en gevolgschade ondervonden).
In de tijd van Citrix wildcard had ook Microsoft remote Desktop een kwetsbaarheid onder de naam BlueGate. Daar kwam eerst de patch, daarna de publicaties over de kwetsbaarheden uit het Mirai botnet met ‘Mirai Victim’. Gelijk daarna kwam ook nog de kwetsbaarheid met Apache Tomcat, wat betekende dat je op de AJP interface willekeurige bestanden kon lezen. Citrix was een Zero Day – de exploit software was er voordat de patch beschikbaar was.
Snel distribueren zonder grondig te testen
Geconcludeerd wordt dat zodra er patches beschikbaar komen, het van belang is om gelijk te analyseren en te bepalen of de patch heel snel kan worden gedistribueerd. Steeds vaker zou gekozen moeten worden voor snelle distributie, waardoor je niet altijd vooraf grondig kunt testen.
In deze Cyber Warfare zullen er vaker partijen zijn die een strategisch voordeel willen halen, waar je snel op moet reageren. Bij een aantal softwareleveranciers is de kwaliteit van de patches steeds beter en kun je het testen ook gemakkelijker minimaliseren of achterwege laten. Overigens is het niet testen van een patch ook weer een risico, ervaring speelt hier mee.
Het Nederlands Security Meldpunt heeft principes die ze wil ombuiten naar beleid. Deze principes bepalen hoe ze met advisories willen omgaan. Bijvoorbeeld: het moet impact hebben, min of meer grootschalig zijn, melden moet zin hebben en het moet binnen ethische acceptabele normen vast te stellen zijn dat je kwetsbaar bent.
Met de vele kwetsbaarheden op VPN, met Fortinet, VPN Citrix, Microsoft RDP enzovoort is het helder geworden dat we ook steeds betere kwalitatieve/security eisen moeten stellen aan deze software, die op de rand van onze infrastructuur leeft.
Over de spreker
Frank Breedijk is de CISO van Managed Services provider Schuberg Philis, oprichter van het DIVD en het Nederlandse Security Meldpunt en auteur van Seccubus.