Gemeente Amsterdam niet bezorgd om kwetsbaarheid in Citrix-server

Anakha

Ook de gemeente Amsterdam maakt gebruik van een server van de Amerikaanse leverancier Citrix, die sinds december te maken heeft met een beveiligingslek. Toch zegt de gemeente zich geen zorgen te maken.

Het Nationaal Cyber Security Centrum waarschuwde in januari voor de "ernstige kwetsbaarheid". "Deze kwetsbaarheid wordt qua ernst ingeschaald op een 9,8 op een schaal van 1 t/m 10. Vele Nederlandse Citrix-servers zijn kwetsbaar voor aanvallen."

Update
Een werknemer laat aan AT5 weten dat bij de gemeente ook wordt gewerkt met een server van Citrix. Een woordvoerder van verantwoordelijk wethouder Touria Meliani (ICT) bevestigt dat, maar zegt echter dat er geen zorgen over zijn. "In december is er meteen een update vanwege het beveiligingslek gedaan."

Volgens de woordvoerder bleek daarna uit tests dat het systeem van de gemeente niet gehackt kan worden. "Alle maatregelen zijn genomen. Dat is ook onderdeel van de dagelijkse praktijk. En er wordt continu getest."

Poging tot inbraak
Bij de gemeente Zutphen, die met Citrix werkt om ambtenaren (thuis) te kunnen laten werken via telefoon, iPad en laptop, werd twee dagen geleden wel een poging tot inbraak op de servers gedaan. Er wordt nu onderzocht of er gegevens zijn gestolen.

Eerder deze week bleek dat er bij de gemeente ook nog computers actief zijn die met Windows 7 werken. Daar worden geen beveiligingsupdates meer voor gegeven, Windows raadt daarom "ten zeerste aan" om over te stappen naar Windows 10. Om hoeveel computers het gaat, wil de gemeente niet zeggen.

woensdag 15 januari 2020, 21:01 uur #1

dikkeder

quote:
Volgens de woordvoerder bleek daarna uit tests dat het systeem van de gemeente niet gehackt kan worden.

Bullshit. Er kan uit die tests hoogstens niet blijken dat de systemen wel gehackt kunnen worden.

woensdag 15 januari 2020, 21:03 uur #2

WildnFree

Gemeente Amsterdam faalt maar al te graag. ICT projecten worden gegeven aan interne medewerkers die daarvoor enkele personen aannemen en er zelf miljoenen mee verdienen, om achteraf ook weer een gefaald project achter de rug te hebben. Verbaasd me niets die arrogantie

woensdag 15 januari 2020, 21:05 uur #3

Resistor

Huh?

Is dit een uitdaging?

Als het niet met een hamer te repareren is, is het een elektrisch probleem.

woensdag 15 januari 2020, 21:06 uur #4

Snowpea

moet je nog peulen?

Met al die loden waterleidingen die daar in de stad nog liggen waar de gemeente niks van weet vertrouw ik mevrouw de wethouder van ICT op haar blauwe ogen. Heus waar!

Redactie Frontpage

woensdag 15 januari 2020, 21:11 uur #5

Without Destiny

quote:
Op woensdag 15 januari 2020 @ 21:05 schreef Resistor het volgende:

[..]

Is dit een uitdaging?

Ben je een ethical hacker?

The One Whose Fate The Gods Do Not Know

woensdag 15 januari 2020, 21:13 uur #6

Repsac78

quote:
Eerder deze week bleek dat er bij de gemeente ook nog computers actief zijn die met Windows 7 werken. Daar worden geen beveiligingsupdates meer voor gegeven

Onzin. Een gemeente zal geen home licenties hebben, maar professional of enterprise. En daar zijn gewoon nog (tegen betaling) updates voor beschikbaar.

https://support.microsoft(...)pdates-for-windows-7

woensdag 15 januari 2020, 21:18 uur #7

quote:
Op woensdag 15 januari 2020 @ 21:13 schreef Repsac78 het volgende:

[..]
Onzin. Een gemeente zal geen home licenties hebben, maar professional of enterprise. En daar zijn gewoon nog (tegen betaling) updates voor beschikbaar.

https://support.microsoft(...)pdates-for-windows-7

Dat klopt, ik verwachte deze reactie al.

Het bronbericht van AT5 is kennelijk niet geschreven door iemand met verstand van zaken.

woensdag 15 januari 2020, 21:56 uur #8

foton

__--*--__

Citrix is al 20 jaar lek.
En telkens wordt er weer ergens een lek gedicht.
Het is een illusie dat alle lekken ooit gedicht zullen zijn. Er zullen hooguit geen ontdekte lekken in zitten gedurende een periode.
Geen reden om het niet te gebruiken.

woensdag 15 januari 2020, 21:57 uur #9

NotKnow

Misschien eigen link even lezen. Je kunt wel updates voor pro en enterprise krijgen, maar daar heb je esu voor nodig, en dus moet betalen.

After January 14, 2020, if your PC is running Windows 7 and you have not purchased Extended Security Updates, the computer will no longer receive security updates.

woensdag 15 januari 2020, 21:57 uur #10

quote:
Bij de gemeente Zutphen, die met Citrix werkt om ambtenaren (thuis) te kunnen laten werken via telefoon, iPad en laptop,

Ambtenaren die werken.

woensdag 15 januari 2020, 22:18 uur #11

BekiekUtMoar

quote:
Op woensdag 15 januari 2020 @ 21:57 schreef foton het volgende:

[..]

Ambtenaren die werken.

Daarom zitten er veel (thuis), dan valt het niet zo op.

“The computer is incredibly fast, accurate, and stupid. Man is unbelievably slow, inaccurate, and brilliant. The marriage of the two is a force beyond calculation.”
– Leo Cherne

woensdag 15 januari 2020, 22:18 uur #12

Distortion

Ik denk dat er meer bedrijven zijn met dan zonder Citrix. Hier gaat het specifiek om een onderdeel wat draait op netscaler. Een patch is er nog niet maar er zijn wel mogelijkheden om de boel verder dicht te zetten. Het is al een oudere kwetsbaarheid:

Omschrijving van het probleem:
https://support.citrix.com/article/CTX267027

Voorlopige workaround:
https://support.citrix.com/article/CTX267679

Ze zijn mooi op tijd met hun waarschuwing....

https://petities.nl/petit(...)t-lange-zomeravonden

woensdag 15 januari 2020, 23:42 uur #13

Also-von-Oder

Last man standing.

Precies, veel foute hackers zullen dit zeker als een uitdaging zien, trouwens ook veel hackers met meer nobele motieven, zullen het proberen, maar alleen om de gebruiker (de gemeente) te wijzen op hun lekken.

donderdag 16 januari 2020, 00:09 uur #14

Posergoth6667

De woordvoerder bedoeld neem ik aan dat ze de stekker er uit hebben gehaald? Elke computer is te hacken. Misschien niet vandaag, maar misschien wel volgende maand. Een pentest biedt dan ook geen zekerheid maar kan grove fouten aantonen. Een hacker die drie dagen bezig is, is niet te vergelijken met een groep die zich verveelt en je IP heeft gevonden. Ook kunnen pentesters iets over het hoofd zien. En kunnen later lekken bekend gemaakt worden. Daarnaast, al zou het systeem waterdicht zijn, dan heb je nog het grootste gevaar, de gebruikers. Als die bij bestanden kunnen heb je al een groot probleem.

The media's the most powerful entity on earth. They have the power to make the innocent guilty and to make the guilty innocent... They control the minds of the masses.

donderdag 16 januari 2020, 00:19 uur #15

Averni

quote:
Op woensdag 15 januari 2020 @ 21:01 schreef dikkeder het volgende:

[..]

Bullshit. Er kan uit die tests hoogstens niet blijken dat de systemen wel gehackt kunnen worden.

Dezelfde onzin als beweren dat iets je woning 100% beveiligt idd. Je kunt niet bewijzen dat niemand kan inbreken.

Het maakt weinig uit, de burger weet niet beter.

donderdag 16 januari 2020, 00:21 uur #16

quote:
Op woensdag 15 januari 2020 @ 21:57 schreef NotKnow het volgende:

[..]

Misschien eigen link even lezen. Je kunt wel updates voor pro en enterprise krijgen, maar daar heb je esu voor nodig, en dus moet betalen.

After January 14, 2020, if your PC is running Windows 7 and you have not purchased Extended Security Updates, the computer will no longer receive security updates.

Redelijk wat overheid dat op onbetaalde licenties loopt.

Reageer zelf

Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken

Gemeente Amsterdam niet bezorgd om kwetsbaarheid in Citrix-server

Lees ook

16 reacties