Bei Convotis (geiger BDT) gab es ja einen Cyberangriff, in dessen Folge zahlreiche Kundensysteme (für Steuerberater, Wirtschaftsprüfer) offline genommen werden mussten. Nun hat das Unternehmen erstmals den Angriff bestätigt. Bisher ist unklar, was das Eindringen der Cyberangreifer ermöglicht hat. Meine Vermutung geht in Richtung schlecht gepatchte Citrix Netscaler ADC. Nachfolgend ein Abriss dessen, was ich bisher herausgefunden habe.
Anzeige
Der Cyberangriff auf geigerCloud/geigerASP
Kurzer Rückblick auf das Thema: Ab dem 21. November 2023 gab es einen kompletten Ausfall der Dienste geigerCloud und geigerASP, die über die Convotis GmbH vorwiegend an Steuerberater und Wirtschaftsprüfer angeboten werden. Ich hatte zeitnah im Blog-Beitrag Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen über diesen Vorfall berichtet.
Was auf den ersten Blick wie eine technische Störung kommuniziert wurde, entpuppte sich nach meinen Informationen als Cyberangriff auf die Infrastruktur von Convotis im Bereich geigerCloud und geigerASP (siehe meinen Beitrag Neues vom Cybervorfall bei Convotis (GeigerCloud/GeigerASP), Desaster für Steuerberater?). Für Kunden der beiden genannten Dienste eine Katastrophe, da nichts mehr ging – selbst Lohnabrechnungen waren nicht mehr möglich.
Meinen Informationen nach versuchten Steuerberaterbüros sich gegenseitig durch lokal installierte Systeme (Lodas) zu behelfen, um zumindest Lohnabrechnungen durchführen zu können. Kunden des Anbieters wurden per Mail informiert – und im oben verlinkten Blog-Beitrag hatte ich aus der Antwort der Datenschutzbeauftragten von Nordrhein-Westfalen zitiert, dass betroffene Kunden vorsorglich eine Meldung über einen Datenschutzvorfall bei der zuständigen Datenschutzaufsicht einreichen sollten.
Meinen Informationen nach begann am 24. November 2023 der Wiederanlauf, der Schritt für Schritt durchgeführt wurde. Inzwischen sollten alle Kundensysteme wieder funktional sein.
Convotis bestätigt Cybervorfall
Bisher war der Cybervorfall bei Convotis nur an Kunden kommuniziert worden. Eine öffentliche Stellungnahme gab es bisher nicht, meine Anfrage an den Anbieter ist bis heute unbeantwortet – möglicherweise funktionieren deren Mail-Server immer noch nicht. Aber ein Blog-Leser hat mich auf eine Ad-Hoc News-Mitteilung der Convotis GmbH hingewiesen, in der nun den Cybervorfall öffentlich bestätigt wird.
Am gestrigen 27. November 2023 bestätigte eine Unternehmenssprecherin gegenüber dts (Deutsche Textservice Nachrichtenagentur GmbH), dass einen Cyberangriff gegeben habe, der am 21. November 2023 um 3:55 Uhr in Köln registriert wurde. Als Sofortmaßnahme wurden alle Kundensysteme heruntergefahren. Im dts-Artikel heißt es von einer Unternehmenssprecherin: "Durch die schnelle Reaktion und die sofortige Trennung des Netzwerks konnte der Angriff auf die Kundensysteme erfolgreich verhindert werden."
Hatte ich beim ersten Beitrag über den Vorfall noch gerätselt, ob eventuell einzelne Kundensysteme gehackt wurden, bin ich zu einem späteren Zeitpunkt davon ausgegangen, dass die geiger BDT-Infrastruktur, die auf Servern im Rechenzentrum die Kundensysteme bereitstellt, angegriffen wurde. Dies wird inzwischen in obiger Formulierung bestätigt.
Auch meine Informationen aus diversen Quellen, dass eine Ransomware für den Ausfall verantwortlich war, wird im dts-Artikel bestätigt. Dort ist von einer hinterlassenen "Ransom Note" die Rede. Nach Rücksprache mit dem Landeskriminalamt sei aber keine Verbindung zu den Angreifern aufgenommen worden, heißt es vom Unternehmen.
Anzeige
Was aus der Meldung noch hervorgeht: Die Kunden könnten mit einem blauen Auge davon gekommen sein, die Kundensysteme waren zwar einige Tage abgeschaltet und die Steuerberater nicht arbeitsfähig. Das Unternehmen gibt aber an, es gebe bisher "keine Hinweise darauf, dass Daten abgeflossen sind. Weder die automatischen Scans noch die manuellen Überprüfungen zeigten Auffälligkeiten." Die Kundensysteme seien seit dem 26. November 2023 Nachmittags wieder in Betrieb, heißt es weiter.
Wie konnten die Angreifer eindringen?
Aktuell ist unklar, wie die Ransomware-Gruppe auf die Infrastruktur der Convotis GmbH im geiger-BDT-Rechenzentrum, wo die obigen Dienste gehostet werden, eindringen konnten. Mein Gefühl, welches ich in diesem Kommentar formuliert hatte, war ein Angriff über Citrix Netscaler ADC, wobei mir die Citrix Bleed-Schwachstelle in Verbindung mit der Lockbit-Ransomware-Gruppe durch den Kopf ging.
Montag bekam ich den Hinweis, mir mal Informationen über die Suchmaschine shodan.io im Hinblick auf bestimmte Server von geiger BDT anzusehen. Mit dem Suchstring html:Citrix ssl:geiger org:"Geiger BDT GmbH" werden mir in shodan.io verschiedene Citrix Netscaler AAA-Instanzen der Firma geiger BDT angezeigt.
Interessant war für mich, dass einzelne Server bei "Last-Modified" beispielsweise den 21. November 2023 anzeigen – die sind wohl auf einem aktuellen Patchstand. Aber ich habe den in obigem Screenshot einen Server aufgelisteten gefunden, der "Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT" aufweist. Der Server steht in Hüllhorst (zwischen Osnabrück und Hannover) und könnte für den Zugang zu den Servern benutzt worden sein.
Der 7. Juli 2023 macht mich dann doch etwas hibbelig, ich interpretiere das als "letzten Patchstand". Auf Github gibt Telekom-Security die Time-Stamps für bestimmte Citrix-Firmware-Versionen in Verbindung mit CVE-2023-3519 an. Und dort taucht die Angabe "Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT" für die Firmware-Version 13.0-91.13 auf.
Ich hatte aber erst Ende Oktober 2023 im Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar über eine neue Schwachstelle beim NetScaler ADC berichtet. Citrix gibt in diesem Sicherheitshinweis NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19 als angreifbar für die Schwachstellen CVE-2023-4966 und CVE-2023-4967 an. Obige Firmware-Version mit "Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT" wäre also für Citrix Bleed angreifbar.
Im Blog-Beitrag schrieb ich, dass Sicherheitsforscher von Mandiant beobachteten, dass Bedrohungsakteure seit Ende August 2023 die 0-Day Schwachstelle CVE-2023-4966 ausnutzen, um Authentifizierungssitzungen zu stehlen und Konten zu kapern. Und im Beitrag Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus hatte ich über die doch drohende Gefahr berichtet. Gehe ich zur betreffenden IP-Adresse (die mir übrigens im Browser als eine http-Seite geöffnet wird), erscheint eine Anmeldemaske (diese wird wegen http als nicht sicher gemeldet).
Ich habe mal den Server mit der betreffenden IP einem TLS-Test unterzogen. Obige Ergebnisseite zeigt zumindest, dass dieser Netscaler für DoS-Angriffe anfällig ist. Zudem wird das benutzte Zertifikat bemängelt. Bei anderen IPs von geiger BDT Netscalern wird nur das Zertifikat bemängelt.
Dann ließe sich noch die Seite hunter.now (hunter.how/list?searchValue=ip=="IP-Adresse") bezüglich der IP abfragen. Aktuell wird mir angezeigt, dass die IP aus Niederkassel zum 2. November bis 22. November 2023 angesprochen wurde. Dort taucht das "Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT" regelmäßig im Header auf. Es mag sein, dass dieser Netscaler überhaupt nichts mit der geiger BDT-Infrastruktur zu tun hat, die am 21. November 2023 angegriffen wurde. Aber wenn ich nichts völlig falsch interpretiert habe, wirft es doch Fragen auf, warum ein Citrix Netscaler ADC von geiger BDT betrieben wird, der ein solches Last-Modified-Datum aufweist (könnte natürlich noch ein Honeypot sein, um die Angreifer auf ein Testsystem zu locken).
Anmerkung: Wegen der Diskussionen hier habe ich mal die IP-Adresse verschleiert – diese lässt sich aber selbst leicht über shodan.in ermitteln.
Ähnliche Artikel:
Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen
Neues vom Cybervorfall bei Convotis (GeigerCloud/GeigerASP), Desaster für Steuerberater?
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
netgo Opfer eines Cyberangriffs? (6. Nov. 2023)
Solvenius GmbH Webseite nicht erreichbar – hat jemand Informationen, was los ist?
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Cyberangriffe: Rostocker Straßenbahn AG; Stadtverwaltung Mössingen
2015
Interessante Analyse, aber die Kollegen bei dem Laden werden sich bestimmt bedanken, dass Sie hier die IP-Adressen der Citrix-ADCs veröffentlichen!
Klar findet man die auch über Shodan, aber so machen Sie es Skriptkiddies noch einfacher! Selbst wenn die inzwischen gepatcht wurden, die nächste Sicherheitslücke im Citrix-ADC kommt bestimmt!
Wie bereits festgestellt – die IP-Adressen sind in Shodan abrufbar – und ein Script-Kiddie, das auf so was abzielt, kennt Shodan – nur mal angemerkt. Ist so eine ähnliche Argumentation wie "Du hast doch einfach einen Google Suchtreffer veröffentlicht" – imho – und security by obscurity funktioniert eher schlecht.
Shodan ist kostenpflichtig.
Hm, da muss ich was nicht mitbekommen haben – ich habe keinen kostenpflichtigen shodan.io-Account – die haben mich nur arg auf die Zahl der Suchanfragen pro Tag begrenzt.
Ja, umsonst hat man ein paar Anfragen pro Tag, die Preisgabe hier erspart aber schonmal die Suche nach 2 lohnenswerten Zielen. Und wenn in einem Class-C-Netz so ein lohnenswertes Ziel steht, sind dort vielleicht noch mehr, sind ja etwas über 500 nutzbare Adressen, nmap macht dann den Rest in diesen beiden IP-Bereichen, da braucht man dann Shodan nicht mehr. Ich würde die IPs in den Screenshot unkenntlich machen, einfach nur um Ärger zu vermeiden.
Wenn ich dort Admin wäre, müsste ich jetzt intern den Umzug der Gateways in andere öffentliche Subnetze diskutieren, um die Dinger erstmal für eine Weile aus der Schusslinie zu nehmen. Mit allem drum und dran was das bedeutet. Oder zumindestens ständig den Syslog von den Dingern analysieren, was recht arbeitsintensiv ist, wenn man nicht nur nach gescheiterten Anmeldeversuchen suchen muss, sondern auch nach anderen ungewöhnlichen "Zugriffstechniken".
Ich würde es aus demselben Grund machen, aus dem man Gesichter gesuchter Personen verpixelt, nachdem sie sich wieder angefunden haben – obwohl das klare Bild vorher an jeden sprichwörtlichen Laternenmast gepinnt wurde und auch in Suchmaschinen auftaucht: um zu demonstrieren, daß man darüber nachgedacht hat und die Rechte der Betroffen (die ja zweifelsfrei existieren) auch respektiert. Machen andere auch so.
Hier begibt man sich ohne Not oder journalistischen Erkenntnisgewinn auf juristisch unsicheres Terrain.
Schon mal was von "certificate transparency" gehört? Die Vorwürfe an Herrn Born laufen ins Leere.
Anscheinend läuft die Empfehlung nicht ins leere, die IPs sind jetzt verwischt. Find ich gut, dass auch mal auf die Leserschaft gehört wird!
Ich überlege mir schon was dabei – mich kostet das Verschleiern eine Minute Zeit. Aber frei heraus: Die Argumentation hier fand ich ziemlich gaga. Wenn Lockbit 3.0 da dran war, haben die Scripte, die IP-Blöcke scannen und sich direkt ein Pattern liefern lassen, welche Schwachstellen vorliegen. Die scannen keine Blogs um dort auf Deutsch nachzulesen, was da vielleicht an IPs zu finden sein könnte. Und damit bin ich aus der Diskussion hier raus.
Ich habe früher mal bei geiger bdt gearbeitet – als es noch ein kleinerer Laden war in Refrath, also bevor der Laden so groß geworden ist. Ich hatte selbst nicht dass Gefühl dass man in Sachen IT-Sicherheit jetzt Vorreiter ist. Es bestätigt sich aber wieder, es geht nichts über VPN. Einfach ein VPN davorsetzen und die Firewall dauerhaft patchen.
TBH, auch eine Firewall bringt nichts wenn es ein Kunde schafft einen Trojaner/eine Malware oder einen Virus auf die Systeme zu bringen.
Dies kann jedes Unternehmen Treffen.
In der IT Sicherheit gibt es ein Sprichwort.
Es ist nicht die Frage ob, sondern wann es dich trifft.
Das ungepatchte System steht bei Wortmann und nicht DATEV.
Kurze Info eines Kunden (wir sind Kunde):
Die Systeme sind nach 7 Tagen wieder am Start. Es gibt noch kleinere Leistungseinbußen, jedoch lässt sich damit leben. (Im Hintergrund wird ja noch massiv gearbeitet)
Die Kommunikation zum Kunden war zu Beginn etwas holprig, jedoch dann wurde mehrfach täglich über den aktuellen Stand berichtet. Es sind keine Daten abgeflossen, für eine Erstmeldung in Sachen Datenschutz wurde den Kunden jedoch eine Vorlage erstellt. Zeitnah wurde eine Anzeige erstattet => vieles richtig gemacht!
Wenn ich mir andere Angriffe ansehe, muss ich Convotis/Geiger meinen Respekt dafür zollen, wie gut der Angriff bearbeitet wurde. Glück hin oder her. Kammergericht Berlin, Landkreis-Anhalt Bitterfeld, Südwestfalen IT usw.. hätten eine Ähnliche Chance gehabt…
btw, Toyota scheint ja auch durch Citrix gefallen zu sein…
Das sind ja mal gute Nachrichten für die Betroffenen. Drücke die Daumen (auch für die Leute, die bei geiger BDT an dem Thema arbeiten), dass es so bleibt.
Nachtrag: Ich hatte hier auf Bitte des Lesers einen Kommentar mit einer internen Stellungnahme der Convotis an Kunden gelöscht. Ich verlinke mal auf diesen LinkedIn-Post, wo jemand diese Stellungnahme als Screenshot publiziert hat.
Eine Bestätigung des Angriffs gibt es bei AdHocNews. Udn einige Informationen finden sich noch in diesem LinkedIn-Beitrag.
"Es sind keine Daten abgeflossen"
Das weiß man noch nicht, da man abgeflossene Daten und Backdoors nicht "scannen" kann. Es ist möglich, dass abgeflossene Daten gerade noch aufbereitet werden und in den nächsten Wochen auf Leakseiten präsentiert werden.
We will see..
Die deutsche Tochter "Toyota Financial Services" aus Köln scheint über Citrix "gefallen" zu sein… nicht Toyota.
Als Betroffener hat auf mehrfache Nachfrage hin Convotis mir gegenüber nun bestätigt, dass Mailstore sowie Backups verschlüsselt sind. Kundensysteme sollen aber nicht betroffen sein. Der Convotis-Management-Bereich soll bei dem Angriff "lahm gelegt" – vermutlich also auch verschlüsselt worden sein. An der Wiederherstellung von Mailstore arbeite man, nachdem man die Kundensysteme nun wieder online habe.
Die Informationen die Convotis mit ihren Kunden teilt sind sehr wohl dosiert in kleinen Tropfen. Insgesamt ist die Kommunikation nebulös und wenig informativ.
Die letzten Informationen an Kollegen von Convotis lauten nun: Der Angreifer soll nicht über Citrix NetScaler ins System gekommen sein.
Ist das jetzt beruhigend für uns Kunden? Der Datenschutzbeauftragte meines Mandanten findet die letzten Aussagen erschreckend.
Wenn Mailstore verschlüsselt ist und die eMails nicht mehr in Outlook gespeichert sind, dann ist dies ein Verlust schutzwürdiger Daten.
Wenn der Angriff nicht über den CitrixNetscaler erfolgt ist, wie kam der Angreifer dann ins System?
Warum konnte der Angreifer sämtliche Backups und Mailstore verschlüsseln?
Kam der Angreifer möglicherweise über ein Kundensystem auf die zentralen Managementserver von Convotis?
Aber wenn der Angreifer über ein Kundensystem kam, wie kam der Angreifer dann auf die Managementserver und Backupserver aller Kunden?
Waren also die Firewalls ordnungsgemäß konfiguriert oder lassen diese Zugriffe auch auf vom Kundensystem auf das Managementsystem zu?
Wie ist man zu der Aussage gekommen, dass keine Hinweise auf den Abfluss von Kundendaten vorliegen? Welche Schritte sind durchgeführt worden um die Aussage zu treffen? Welche Logs liegen hierzu vor?
Habt ihr weitere Informationen?
Ich habe zum 15.12.2023 die geiger BDT Citrix-Instanzen in Shodan.io inspiziert – inzwischen zeigen die mir Patchstände von Nov. / Dez. 2023. Da hat sich also was getan.
Ich finde es spannend, dass Convotis nach diesem Inzident jetzt auf Cloudflare umgestiegen ist, ohne uns Kunden das mitzuteilen oder in irgendwelchen Datenschutzerklärungen zu hinterlegen. Müssten nicht solche Veränderungen preisgegeben werden?