Onderzoek naar beveiligingslek Citix

De Onderzoeksraad voor Veiligheid start een onderzoek naar het beveiligingslek in de software van Citrix dat in december 2019 bekend werd. Bij het onderzoek kijkt de Raad met name naar de aanpak in de maanden na de ontdekking van het beveiligingslek.

De Raad zal daarbij bijzondere aandacht geven aan de governance van digitale veiligheid in ons land. Welke partijen, publiek en privaat, hebben welke verantwoordelijkheid en welke bevoegdheid om de digitale veiligheid te borgen en hoe zijn deze ingezet om de gevolgen van dit lek te beperken? Het doel van het onderzoek is het vergroten van de digitale veiligheid in Nederland.

In januari 2020 kwam naar buiten dat in de Citrix toepassingen Citrix ADC, Citrix Gateway, Citrix Netscaler en Citrix Netscaler ADC kwetsbaarheden gevonden zijn, waardoor het mogelijk is dat aanvallers root-rechten kunnen verkrijgen. Ook is de kwetsbaarheid gevonden in de Citrix SD-WAN WANOP-software. Het NCSC gaf op 19 januari 2020 een advies af over hoe om te gaan met deze kwetsbaarheid.

Nadat Citrix de oplossingen voor de datalek gevonden had zijn onderzoekers van Fox-IT, een Nederlands bedrijf op het gebied van computer- en netwerkbeveiliging wat veelal de overheid en financiële instanties adviseert, een onderzoek gestart en ontdekte opnieuw kwetsbaarheden. Minimaal 25 bedrijven, waaronder De Rijksoverheid en Schiphol, werden getroffen door deze hack.