Overheid waarschuwt: honderden Nederlandse bedrijven kwetsbaar door ernstig lek

De systemen van honderden Nederlandse bedrijven staan wagenwijd open voor hackers. Het gaat om grote bedrijven binnen de zorg-, energie- en IT-sector, die gebruikmaken van software van het Amerikaanse Citrix. In hun software is een ernstig lek ontdekt.

Hackers kunnen op een relatief simpele manier toegang krijgen tot de systemen van deze kwetsbare bedrijven. Vervolgens kunnen de hackers het bedrijf bespioneren, gevoelige data stelen of juist computers gijzelen, zoals recentelijk bij de universiteit van Maastricht gebeurde. 

Citrix-lek

Hackers zijn ook actief op zoek naar kwetsbare Nederlandse bedrijven, waarschuwt het Nationaal Cyber Security Centrum (NCSC). Momenteel ligt het netwerk van het Medisch Centrum Leeuwarden plat doordat kwaadwillende hackers het Citrix-lek misbruiken. Het Friese ziekenhuis doet daar onderzoek naar.

Citrix wordt door bedrijven gebruikt om werknemers op afstand te laten inloggen op hun systeem. Op die manier kunnen werknemers ook vanuit huis of tijdens het reizen werken.

240 bedrijven

Momenteel zijn minimaal 240 Nederlandse bedrijven nog kwetsbaar, zo blijkt uit een analyse van onderzoeker Matthijs Koot van cybersecuritybedrijf Secura. Hij scant het internet af naar kwetsbare bedrijven en heeft er al enkele tientallen ingelicht en geholpen.

"Ik heb de laatste zes dagen nauwelijks geslapen", vertelt hij tegen RTL Nieuws. Hij waarschuwde onder andere water- en telecombedrijven die vitaal zijn voor onze infrastructuur. Samen met onderzoeker Frank Breedijk van het Nederlands Security Meldpunt probeert hij de schade zo veel mogelijk te voorkomen.

Breedijk informeert netwerkbeheerders als KPN en Ziggo dat er kwetsbare Citrix-systemen in hun netwerken te vinden zijn. Deze partijen kunnen vervolgens hun klanten informeren en de kwetsbaarheden laten dichten. 

Ernstig lek

Het NCSC noemt het een 'zeer ernstige kwetsbaarheid' waar kwaadwillende hackers gemakkelijk misbruik van kunnen maken. Het lek is bekend sinds 17 december en Citrix heeft een aantal maatregelen gepubliceerd waarmee systeembeheerders het lek kunnen dichten. "Het NCSC adviseert met klem om deze maatregelen zo snel mogelijk toe te passen", zo valt op hun website te lezen.

Vorige week waren nog zo'n kleine duizend Nederlandse bedrijven kwetsbaar door het Citrix-lek. Zo'n driekwart van de Nederlandse bedrijven heeft deze maatregelen al toegepast. Op 20 januari brengt Citrix een update uit die bedrijven kunnen installeren om zichzelf te beschermen.

Wat doen hackers als ze Citrix overnemen?

De hackers hebben grofweg drie opties als ze toegang krijgen tot een kwetsbaar Citrix-systeem.

1. Een bestand bekijken met daarin gebruikersnamen en versleutelde wachtwoorden van gebruikers. Door de wachtwoorden te kraken zouden ze werknemers kunnen hacken.

2. Vanuit het Citrix-systeem toegang krijgen tot andere systemen binnen het netwerk van het bedrijf, indien de systemen aan elkaar zijn gekoppeld. 

3. Een bestand bekijken met daarin zogeheten sessiecookies. Met deze cookies kunnen ze de sessie van een ingelogde gebruiker overnemen.

Losgeld en spionage

Bedrijven zijn een belangrijk doelwit voor criminele hackers, zegt Frank Groenewegen van cybersecuritybedrijf Fox-IT. Door de computers van een bedrijf of organisatie te gijzelen en losgeld te vragen, kun je in één klap veel geld verdienen.

Ook hackers in dienst van een land kunnen misbruik maken van de Citrix-kwetsbaarheid. "Noord-Koreanen zijn vaak op zoek naar geld door bijvoorbeeld een bank te hacken", vertelt Groenewegen. "De Chinezen proberen zo veel mogelijk documenten en persoonsgegevens te vergaren. Terwijl de Russen en Iraniërs juist organisaties hacken om hen te saboteren."

Pulse Secure

Het lek bij Citrix lijkt op de kwetsbaarheid in Pulse Secure, een product dat ook wordt gebruik om werknemers op afstand te laten werken. Door het lek in Pulse Secure konden kwaadwillenden toegang krijgen tot de netwerken van onder meer KLM, Shell en Luchtverkeersleiding Nederland.