Gigantische netwerksoftware Citrix Systems zegt dat kwaadwillende hackers tussen 2018 en 2019 vijf maanden binnen zijn netwerken zaten, en er vandoor gingen met persoonlijke en financiële gegevens over werknemers van het bedrijf, aannemers, stagiaires, sollicitanten en hun gezinsleden. De onthulling komt bijna een jaar nadat Citrix erkende dat digitale indringers waren ingebroken door de accounts van zijn werknemers te onderzoeken op zwakke wachtwoorden.
Citrix levert software die wordt gebruikt door honderdduizenden klanten over de hele wereld, waaronder de meeste Fortune 100-bedrijven. Het is misschien het best bekend voor het verkopen van virtual private networking (VPN) -software waarmee gebruikers op afstand toegang krijgen tot netwerken en computers via een gecodeerde verbinding.
In maart 2019, de Federal Bureau of Investigation (FBI) waarschuwde Citrix dat ze reden hadden om aan te nemen dat cybercriminelen toegang hadden gekregen tot het interne netwerk van het bedrijf. De FBI vertelde Citrix dat de hackers waarschijnlijk binnenkwamen met behulp van een techniek genaamd "wachtwoord spuiten, ”Een relatief grove maar opmerkelijk effectieve aanval die probeert toegang te krijgen tot een groot aantal werknemersaccounts (gebruikersnamen / e-mailadressen) met slechts een handvol veelvoorkomende wachtwoorden.
In een verklaring Citrix zei dat het erop leek dat hackers "mogelijk zakelijke documenten hebben geopend en gedownload", en dat het nog steeds bezig was om te achterhalen wat er precies was geopend of gestolen.
Maar in een brief van 10 februari 2020 aan de getroffen personen heeft Citrix aanvullende details over het incident bekendgemaakt. Volgens de brief hadden de aanvallers tussen 13 oktober 2018 en 8 maart 2019 "intermitterende toegang" tot het interne netwerk van Citrix en was er geen bewijs dat de cybercriminelen nog steeds in de systemen van het bedrijf aanwezig waren.
Citrix zei dat de informatie die door de indringers is ingenomen, mogelijk socialezekerheidsnummers of andere belastingidentificatienummers, rijbewijsnummers, paspoortnummers, financiële rekeningnummers, betaalkaartnummers en / of informatie over beperkte gezondheidsclaims bevat, zoals het identificatienummer van de ziekteverzekering. en / of claiminformatie met betrekking tot de datum van de dienst en de naam van de provider.
Het is onduidelijk hoeveel mensen deze brief hebben ontvangen, maar uit de mededeling blijkt dat Citrix contact opneemt met een breed scala aan personen die ooit voor het bedrijf hebben gewerkt of gewerkt, evenals met degenen die daar naar banen of stages hebben gesolliciteerd en mensen die mogelijk hebben ontvangen gezondheids- of andere voordelen van het bedrijf door een familielid in dienst te hebben bij het bedrijf.
De brief van Citrix is ingegeven door wetten in vrijwel alle Amerikaanse staten die bedrijven verplichten om getroffen consumenten op de hoogte te stellen van elk incident dat hun persoonlijke en financiële gegevens in gevaar brengt. Hoewel in de melding niet wordt aangegeven of de aanvallers eigendomsgegevens over de software en interne operaties van het bedrijf hebben gestolen, hadden de indringers zeker ook ruimschoots de gelegenheid om op zijn minst een deel van die informatie te raadplegen.
Kort nadat Citrix de inbraak in maart 2019 voor het eerst openbaarde, kwam een weinig bekend beveiligingsbedrijf Opnieuw beveiligen beweerde het had bewijs dat Iraanse hackers verantwoordelijk waren, zat al jaren in het netwerk van Citrix en had terabytes aan gegevens uitgeladen.
Iraanse hackers hebben onlangs de schuld gekregen voor het hacken van VPN-servers over de hele wereld in een poging achterdeurtjes te planten in grote bedrijfsnetwerken. EEN rapport vrijgegeven deze week (PDF) door beveiligingsbedrijf Heldere lucht beschrijft hoe de door de Iraanse overheid gesteunde hackeenheden bezig zijn geweest met het misbruiken van beveiligingslekken in populaire VPN-producten van Citrix en een aantal andere softwarebedrijven.
ClearSky zegt dat de aanvallers zich hebben geconcentreerd op het aanvallen van VPN-tools omdat ze een langdurige voet aan de grond bieden bij de beoogde organisaties en vaak de deur openen voor het doorbreken van extra bedrijven door middel van supply chain-aanvallen. Het bedrijf zegt dat dergelijke tactieken de Iraanse hackers in staat hebben gesteld om blijvende toegang te krijgen tot de netwerken van bedrijven in een breed scala van sectoren, waaronder IT, beveiliging, telecommunicatie, olie en gas, luchtvaart en overheid.
Een van de VPN-fouten die beschikbaar zijn voor aanvallers is een recentelijk gepatchte kwetsbaarheid (CVE-2019-19781) in Citrix VPN-servers die door sommigen in de beveiligingsgemeenschap "Shitrix" worden genoemd. De spottende bijnaam is mogelijk gekozen omdat Citrix waarschuwde klanten in eerste instantie voor de kwetsbaarheid medio december 2019begon het pas eind januari 2020 patches vrij te geven om de gaten te dichten - ongeveer twee weken nadat aanvallers begonnen te gebruiken publiekelijk vrijgegeven exploitcode om in te breken in kwetsbare organisaties.
Hoe zou uw organisatie bestand zijn tegen een aanval met wachtwoordspray? Zoals de Citrix-hack laat zien, moet je, als je het niet weet, waarschijnlijk de resultaten controleren en dienovereenkomstig handelen. Het is een goede gok dat de slechteriken erachter zullen komen, zelfs als jij dat niet doet.
Tags: Citrix Systems, CVE-2019-19781, fbi, Shitrix
Bron: https://krebsonsecurity.com/2020/02/hackers-were-inside-citrix-for-five-months/
