Luchthaven Schiphol, de Tweede Kamer en meerdere ministeries hebben vrijdag Citrix-servers offline gezet in verband met een groot beveiligingslek. Vijf vragen en antwoorden over het lek in de Citrix-systemen.

Wat is Citrix?

Citrix is een Amerikaans bedrijf dat software levert aan organisaties over de hele wereld. Met de software van Citrix kunnen bedrijven onder andere 'virtuele desktops' opzetten die vanuit de cloud of een netwerk te gebruiken zijn. Dit zorgt er onder meer voor dat medewerkers van een bedrijf dat gebruikmaakt van de software thuis kunnen inloggen op de interne servers van de organisatie.

Wat houdt de kwetsbaarheid precies in?

Door de kwetsbaarheid in het netwerk van Citrix kunnen kwaadwillenden op afstand een code uitvoeren in het systeem. Kwaadwillenden kunnen hierdoor het hele systeem overnemen, waarschuwt het softwarebedrijf.

Matthijs Koot, werkzaam bij Secura en als onderzoeker verbonden aan de Universiteit van Amsterdam, noemt de overname van de systemen een "doemscenario". Hij vertelt dat aanvallers de kwetsbaarheid in sommige gevallen kunnen gebruiken om de interne systemen van bedrijven aan te vallen. Wie geen maatregelen treft, kan daardoor slachtoffer worden van bijvoorbeeld datalekken, gijzelsoftware en spionage.

Het Nationaal Cyber Security Centrum (NCSC) schaalt het dreigingsniveau van de kwetsbaarheid in op een 9,8 op een schaal van 1 tot 10, laat een woordvoerder weten aan NU.nl.

Welke organisaties zijn kwetsbaar?

Uit onderzoek van Bad Packets bleek zondag dat wereldwijd ruim 25.000 servers kwetsbaar zijn voor hackers. In Nederland ging het om minimaal 713 servers.

Koot scande het internet op zoek naar Nederlandse servers met deze kwetsbaarheid. Hij vond daarbij bedrijven waarbij de kwetsbaarheid een grote impact zou kunnen hebben. Koot wilde niet zeggen welke specifieke bedrijven getroffen zijn, maar sprak over meerdere ministeries, gemeenten, ziekenhuizen, ggz-instellingen, een grote bank, een grote verzekeraar en een luchthaven.

Koot heeft woensdagochtend nog een scan uitgevoerd. Toen bleek dat het aantal kwetsbare systemen in Nederland dat nog met het internet verbonden is, is gedaald van ruim 700 naar minimaal 240 servers. Hij maakt daarbij de kanttekening dat zijn scan niet volledig dekkend is. Het werkelijke aantal kan dus hoger zijn.

Zijn er al organisaties gehackt?

In het weekend van 11 januari is er een zogeheten exploit uitgegeven, dat zijn programmaatjes waarmee het lek kan worden misbruikt. Daardoor worden servers actief aangevallen.

Dinsdagavond hebben hackers geprobeerd in te breken in de computersystemen van het Medisch Centrum Leeuwarden (MCL) en van de gemeente Zutphen. De organisaties hebben als reactie de netwerken gesloten. Er is geen indicatie dat het de hackers is gelukt om in de systemen van de organisaties in te breken.

Op advies van de NCSC hebben onder meer luchthaven Schiphol, de Tweede Kamer, meerdere Nederlandse ministeries en gemeenten de Citrix-servers offline gehaald. Ook Hogeschool Inholland heeft de servers platgelegd. Daardoor is het voor studenten niet meer mogelijk om online opdrachten in te leveren. De tentamens die voor maandag gepland stonden, zijn afgelast.

Het offline halen van de Citrix-servers is een preventieve maatregel, vertellen de organisaties aan NU.nl. Er is bij deze organisaties geen indicatie dat hackers daadwerkelijk hebben geprobeerd om in te breken bij de systemen.

Wanneer wordt het beveiligingslek verholpen?

De kwetsbaarheid in het systeem van Citrix is sinds december 2019 bekend, maar het softwarebedrijf heeft nog geen update uitgebracht die het lek verhelpt. Wel deelde Citrix maatregelen die bedrijven kunnen nemen om de risico's te beperken.

Het NCSC adviseerde donderdagavond met klem om waar mogelijk de Citrix-servers offline te zetten. De risicobeperkende maatregelen bleken namelijk niet altijd te werken.

Citrix verwacht op zijn vroegst op 20 januari een update aan te kunnen bieden die de kwetsbaarheid wegneemt. Voor bepaalde versies van de firmware (in hardware geprogrammeerde software) kan een update nog enkele dagen langer op zich laten wachten.