Beveiligingslek

Honderden servers in Nederland kwetsbaar voor hackers

Beeld Reuters

Computerservers in onder meer de zorg blijken open te staan voor hackers. ‘Het is wachten tot de eerste slachtoffers vallen.’

Wereldwijd zijn zo’n 25.000 servers met bepaalde software van het Amerikaanse bedrijf Citrix aangemerkt als kwetsbaar. De meeste servers staan in de VS, maar er staan ook duizenden in onder meer Duitsland, Groot-Brittannië en Zwitserland. In Nederland gaat het om ruim zevenhonderd bedrijven en instellingen die deze software ­gebruiken. “Het is een kwestie van afwachten tot de eerste slachtoffers vallen”, zegt IT-beveiligingsexpert Matthijs Koot. “Dat klinkt misschien als paniek zaaien, maar zo is het niet. De situatie is urgent.”

Koot, werkzaam bij computer­beveiligingsbedrijf Secura en als gast­onderzoeker verbonden aan de Universiteit van Amsterdam, onderzocht de afgelopen dagen hoeveel Citrix-servers in ons land kwetsbaar zijn. Gisteren waren er nog steeds meer dan vijfhonderd servers waarvan de beheerders nog geen of onvoldoende maatregelen hadden genomen.

Belangrijke sectoren

Concrete namen van bedrijven en instellingen wil Koot niet noemen, maar ze zitten in belangrijke sectoren zoals de zorg, de IT-dienstverlening, verzekeringen en energie. Ook zijn er meerdere Nederlandse multinationals bij, aldus Koot.

Het beveiligingslek in de Citrix-software werd medio december ontdekt. Begin deze week werd het lek extra urgent toen hackers een zogeheten exploit verspreidden. Dat is software waarmee het binnendringen van netwerken ‘kinderlijk eenvoudig’ wordt, schrijft Koots collega-beveiligingsexpert Frank Breedijk op de website securitymeldpunt.nl.

Computercriminelen kunnen makkelijk binnendringen via inlog­gegevens van internetgebruikers die met de netwerken verbonden zijn, of ze kunnen een sessie van een ingelogde gebruiker kapen. Vervolgens kunnen de hackers rondneuzen in de netwerken, gegevens stelen of manipuleren, of gijzelsoftware installeren.

De vondst van de exploit was voor het Nationaal Cyber Security Centrum (NCSC) maandag reden om de risico-inschatting te verhogen naar de hoogste categorie: ‘high-high’. Dat betekent dat zowel het risico op misbruik van het lek als de kans op schade hoog is.

Onacceptabel

Citrix werkt intussen aan beveiligingsupdates, maar die zijn pas vanaf 20 januari beschikbaar. Waarom het meer dan een maand duurt voordat het bedrijf een permanente oplossing beschikbaar stelt, is niet duidelijk. ­Citrix laat per mail weten dat “fixes alomvattend moeten zijn en grondig getest moeten worden, en dat kost tijd”. Wel heeft Citrix noodoplossingen beschikbaar.

IT-expert Koot begrijpt niet dat het bedrijf er meer dan een maand over doet om met een permanente fix te komen. “Ze zullen vast allerlei ­redenen hebben, maar ik vind dat Citrix zich zou moeten schamen. Deze situatie is volstrekt onacceptabel, ook omdat je de noodmaatregelen niet kunt uitvoeren zonder een geldige licentie. Dan kun je dus niks, behalve je systeem van het internet loskoppelen. Ik vraag me af hoe het kan dat in dit soort producten nu nog zulke ­grote kwetsbaarheden voorkomen.”

Koot checkt elke nacht hoeveel ­Citrix-servers nog kwetsbaar zijn. De gegevens deelt hij met het NCSC, dat ze gebruikt voor beveiligingsadviezen. “De komende dagen zijn cruciaal. Iedereen die niks overkomt mag in z’n handjes knijpen.”

Lees ook:

Ransomware is toenemend gevaar voor bedrijven en organisaties

Twee dagen voor Kerst werd de Universiteit Maastricht getroffen door een cyberaanval, waarbij hackers het netwerk gijzelden met ransomware. Die kwaadaardige software geldt als een toenemend gevaar, waarschuwen experts.

Sluizen en elektriciteitscentrales zijn kwetsbaar voor hackers

Een simpele online zoekopdracht, meer hadden onderzoekers van de Universiteit Twente niet nodig om bijna duizend aan internet gekoppelde systemen te vinden, delen van de vitale infrastructuur van Nederland. Zo’n zestig bleken kwetsbaar voor hacks. 

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden