De Onderzoeksraad voor Veiligheid (OVV) heeft bekend gemaakt dat het een onderzoek begint naar het beveiligingslek in de software van Citrix dat in december 2019 bekend werd. Het doel van het onderzoek is het vergroten van de digitale veiligheid in Nederland.
Bij het onderzoek kijkt de Raad met name naar de aanpak in de maanden na de ontdekking van het beveiligingslek. De Raad zal bijzondere aandacht geven aan de governance van digitale veiligheid in ons land. Het doel is de vraag te beantwoorden welke partijen, publiek en privaat, welke verantwoordelijkheid en welke bevoegdheid hebben om de digitale veiligheid te borgen en hoe zijn deze ingezet om de gevolgen van het lek te beperken?
Ernstige kwetsbaarheid
Het Nederlands Cyber Security Center maakte half januari een zeer ernstige kwetsbaarheid bekend in Citrix ADC en Citrix Gateway servers, voorheen bekend als Citrix Netscaler. Deze kwetsbaarheid werd qua ernst ingeschaald op een 9,8 op een schaal van 1 tot en met 10. Citrix levert met name toepassingen om op elke locatie via het bedrijfsnetwerk te kunnen werken.
Veel Nederlandse Citrix-servers waren kwetsbaar voor aanvallen, waarvoor volgens het NCSC ook al exploits voor beschikbaar waren om misbruik van de kwetsbaarheid mogelijk te maken. Het ging om meer dan 700 Nederlandse servers, onder van ministeries, ziekenhuizen, ggz-instellingen, een grote bank en een luchthaven. Onder meer een ziekenhuis en een gemeente kregen te maken met een hackpoging via de Citrix-kwetsbaarheid.
Citrix bracht later in januari patches uit voor de kwetsbaarheden in zijn software. Volgens security-bedrijf Fox-IT hadden cybercriminelen toen echter al malware in veel netwerken binnengebracht waarmee ze ook na installatie van de patches toegang tot het netwerk hadden.
