"Cyber-Angriff“ auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?

Sicherheit (Pexels, allgemeine Nutzung)Das Klinikum Esslingen (bei Stuttgart) ist wohl am 28. November 2023 Opfer eines Cyberangriffs geworden. Das geht aus einer Pressemitteilung von gestern hervor. Beim Angriff über einen "Fernzugang" konnten der oder die Angreifer Schäden auf Servern – vor allem im Bereich Radiologie anrichten. Wenn meine Informationen stimmen, kamen die Angreifer über die als Citrix Bleed bezeichnete Schwachstelle auf die Server des Klinikums.


Anzeige

Ein Blog-Leser hat mich in einer privaten Nachricht auf Facebook über den Vorfall in Kenntnis gesetzt. Das Klinikum Esslingen hat 655 Betten und schreibt in einer Pressemitteilung vom 29. November 2023, dass man "am gestrigen Dienstag gegen 17.00 Uhr" (also am 28. November 2023) einen Hackerangriff auf die IT-Infrastruktur des Klinikums Esslingen festgestellt habe.

Cyberangriff auf Klinikum Esslingen

Nur Teilbereiche betroffen

Das Klinikum gibt an, dass nach aktuell vorliegenden Informationen eine unbekannte Person über Fernzugriff in die IT-Systeme des Krankenhauses eingedrungen sei. Dann ist es dem Angreifer wohl gelungen, dort gezielt Schaden im Bereich einiger Server anzurichten. Explizit gibt man nicht an, was passiert ist, aber ich lese aus der Mitteilung, dass Dateien gelöscht wurden (ob durch Verschlüsselung oder per Wiper, ist offen).

Das Klinikum schreibt, dass vom Cyberangriff in erster Linie die bildverarbeitenden Systeme in der Radiologie betroffen sind. Auch in Mitleidenschaft gezogen worden sei die Bildgebung im Bereich Ultraschall- und Endoskopie. Im Bereich der Verwaltung wurden zudem unternehmensinterne Daten gelöscht.


Anzeige

Die Patientendaten im Krankenhausinformationssystem seien nicht davon betroffen, heißt es in der Mitteilung. Das erscheint mir aber ein Widerspruch zur Aussage, dass in der Radiologie Dateien gelöscht wurden (waren das keine Patientendaten?, hier hätte ich mir mehr Klarheit erhofft). Der Krankenhausbetrieb läuft daher auch weiter, versichert das Klinikum. Allerdings kommt es durch den anhaltenden Ausfall bei den bildgebenden Systemen zu spürbaren Behinderungen in den Abläufen.

Wir haben sofort reagiert …

In seiner Mitteilung versichert das Klinikum, dass sofort nach Entdeckung des Angriffs die IT-Abteilung des Klinikums gemeinsam mit Experten einer Sicherheitsfirma umfangreiche Maßnahmen eingeleitet hätten, um die Ausbreitung des Angriffs zu stoppen und die Situation umfänglich zu analysieren. Die Krankenhausleitung habe einen Krisenstab eingerichtet und die Polizei eingeschaltet, heißt es.

"Wir haben sofort mit der Analyse begonnen und den Zugang zu allen relevanten Systemen gesperrt. Durch das schnelle Handeln konnten wir mutmaßlich weitere negativen Auswirkungen unterbinden. Die Patientensicherheit und -versorgung war zu keinem Zeitpunkt gefährdet ist es auch weiterhin nicht.", lässt sich Geschäftsführer Matthias Ziegler in der Mitteilung zitieren.

Es wird auch versichert, dass die IT-Abteilung des Klinikums mit den beteiligten Firmen nun unter Hochdruck daran arbeitet, alle notwendigen Maßnahmen zur Wiederherstellung die Systeme einzuleiten. "Mit der Wiederherstellung der Systeme wurde bereits begonnen und wir gehen davon aus, dass wir innerhalb der nächsten 24 Stunden wieder einen vollständig funktionierenden Krankenhausbetrieb haben werden," so Markus Wölfer, Leiter der IT Abteilung.

War Citrix Bleed das Einfallstor?

Meine Quelle berichtete mir, dass für den Angriff wohl die die Citrix Netscaler Schwachstelle vom August 2023 ausgenutzt wurde. Sofern dieser Hinweis stimmt, und Citrix dort eingesetzt wurde, dürfte es sich um die NetScaler-Schwachstelle CVE-2023-4966 handeln. Sicherheitsanbieter Mandiant hatte eine laufende Ausnutzung dieser Schwachstelle entdeckt. Mandiant gab an, dass Bedrohungsakteure seit Ende August 2023 die 0-Day Schwachstelle CVE-2023-4966  ausnutzen, um Authentifizierungssitzungen zu stehlen und Konten zu kapern. Dadurch können Angreifer die Multifaktor-Authentifizierung oder andere starke Authentifizierungsanforderungen umgehen.

Ich habe mal kurz in shodan.io geschaut – in der Tat kommen im Klinikum Esslingen der Citrix Netscaler AAA sowie das Citrix Gateway zum Einsatz. Und ich habe dort auch Informationen gefunden, die auf einen Patchstand vom 10. Juli 2023 hindeuten. Sofern dies zutrifft, wird die Geschichte rund.

Ich hatte aber erst Ende Oktober 2023 im Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar über eine Schwachstelle beim NetScaler ADC berichtet. Sicherheitsforscher von Assenote hatten unter dem Titel "Citrix Bleed" eine Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches von Citrix im Artikel Citrix Bleed: Leaking Session Tokens with CVE-2023-4966 vorgelegt.

Citrix hat für die Schwachstelle ein Firmware-Update bereitgestellt, so dass gepatchte Netscaler ADC abgesichert sind. Inzwischen ist bekannt, dass die Lockbit-Ransomware-Gruppe diese Schwachstelle ausnutzt (siehe Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus). Ich vermute bereits beim Cyberangriff auf Convotis (siehe Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?) diese Schwachstelle als Angriffspunkt. Demnach könnte das Klinikum Esslingen ein weiteres Opfer der nicht schnell genug gepatchten Citrix Beed-Schwachstelle geworden sein.

Citrix Bleed als Einfallstor bestätigt

Mir liegt ein Schreiben vor, in dem alle Geschäftsführer in Krankenhäuser und Rehabilitationseinrichtungen in Baden-Württemberg zum 30. November 2023 vor Sicherheitslücken in Citrix-Produkten gewarnt wurden. Im Dokument warnt die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg vor den Schwachstellen und schreibt.

„Der Polizei Baden-Württemberg ist ein aktueller Cyberangriff gegen ein Baden-Württemberger Klinikum bekannt geworden. Nach gegenwärtigen Erkenntnissen nutzten die Angreifer eine
konkrete Sicherheitslücke aus und erlangten in der weiteren Folge unberechtigt Zugriff auf bestimmte Netzwerksegmente. Augenscheinlich handelt es sich um eine Sicherheitslücke eines
Systems des Herstellers CITRIX. CITRIX-Produkte werden oftmals als VPN-Dienst für Fernzugriffe und als Firewall verwendet.

Die entsprechende Sicherheitslücke ist mit der Bezeichnung CVE2023-4966 erfasst. Betroffen sind die CITRIX-Produkte „NetScaler ADC" und „NetScaler Gateway" mit bestimmten Versionsnummern. Sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch das US-amerikanische CERT haben entsprechende Sicherheitswarnungen und bekannte Indikatoren (IoC) zusammengetragen und veröffentlicht. Demnach wird die Sicherheitslücke auch von Ransomware-Gruppen ausgenutzt. Erpresserische Verschlüsselungsangriffe sind demzufolge nicht auszuschließen."

Also der Puzzlestein, der meine obige Theorie, die ich vor Kenntnis der Warnung erhielt, bestätigt. Inzwischen werden Kliniken und Rehaeinrichtungen in Baden-Württemberg vor der Citrix-Schwachstelle gewarnt (siehe mein Beitrag LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen).

Ähnliche Artikel:
Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar
Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu "Cyber-Angriff“ auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?

  1. topas sagt:

    Mögliche Erklärung zur Frage nach Patientendaten: Vielleicht lief das RIS der Radiologie autark und war nur über die gewöhnlichen Schnittstellen (HL7, WebViewer,…) an das KH angebunden. So waren zwar die Daten im RIS (Radiologie InformationsSystem) betroffen, aber eben nicht die im KIS vom Krankenhaus selbst. Sprich: Nicht ins KIS übernommene Radiologie-Aufnahmen sind futsch, aber deine Patientenakte im KH (mit allen in Arztbriefen… enthalten Bildern) sind unberührt. So würde ich die Pressemitteilung verstehen.

    • Norddeutsch sagt:

      Hi @topas – vielleicht ne blauäugige Frage – meinst Du mit "autark", dass zB ein Radiologie-RIS mittels HL7 (Wiki hier) oder Webviewer nah am oder im WWW und nicht im Klinik-LAN steht? Oder versteh ich den Gedanken falsch?

      • Anonymous sagt:

        Die laufen in der Regel auf einem anderen System und mit einer anderen Platform sowie stammen von einem anderen Hersteller. Während das KIS meist eine Awendung auf den Klinikrechnern und mit seiner Datenbank Patientendaten wie Laborbefunde, Artzbriefe, Befunde aus konsiliarischen Untersuchungen (dazu zählen auch die Interpretationen der Bilder der Radiologie, allerdings nicht die Bilder selbst) speichert, liegen die Bilder selbst auf einem anderen (klinikinternen) Sever, welcher mit anderer Software (Zugriff aus dem „normalen" Kliniknetz i.d.R. über Intranet-Webadresse oder speziellen Radiologie-Clienten mit ausschließlich lesenden Rechten) betrieben wird.
        Die Kommunikation zwischen den Systemen ist üblicherweise eingeschränkt, sodass z.B. Importe aus anderen Kliniken (z.B. per Teleradiologie) nicht nur einzelnen Mitarbeiten vorbehalten ist, sondern auch nur von spezifischen Computern oder LAN-Ports aus funktioniert so wird auf zwei Bildschirmen von zwei Rechnern befundet, der eine hängt im Radiologie-Subnetz, der andereim Hauptnetz mit KIS). Ein Patient/Fall bzw. eine radiologische Anforderung muss i.d.R. aus dem KIS explizit in die radiolog. Systeme übertragen werden, bevor sie dort bearbeitet werden kann.

        So kann es durchaus sein, dass ein solcher Arbeitsplatz / … angegriffen wurde und so die digitale Speicherung (Bildarchiv) / Übertragung (Import oder auch Erstellung mit Speicherung) innerhalb der Radiologie gestört hat, die bereits erstellten Befunde (im KIS gespeichert) jedoch nicht betroffen sind.
        Sollte beispielsweise eine Störung – ich nenne es jetzt mal ganz allgemein so – auf Systeme beschränkt sein, die für Import bzw. die Übertragung von z.B. CT in die radiolog. Datenbank bestimmt sind, kann es durchaus sein, dass nicht einmal Zugriff auf die Bilder bestand, sondern nur die Schnittstelle für den Import ausgefallen ist.
        Was da genau passiert ist, ist aber aus einer Pressemitteilung nicht genau abzulesen.

      • topas sagt:

        Im Prinzip hat es Anonymous schon gut beschrieben: Beide stehen NICHT im WWW, sind aber untereinander relativ gekapselt. In der Regel sind KIS (die Software, die der normale Arzt im Krankenhaus nutzt) und RIS (die Software in der Radiologie) – so weit ich es kenne – unterschiedliche Systeme (Software bis hin zu unterschiedlichen Betriebssystemen) in unterschiedlichen Netzen – oder sollten es zumindest sein. Sie kommunizieren über dedizierte Schnittstellen und Prozesse. So wird die HL7-Nachricht vom Klinik-System in Richtung Radiologie geschrieben – in die Richtung kann alles bis auf den SMB/NFS-Port dicht sein. Der Rückweg erfolgt zum Beispiel über einen Webviewer – du kannst halt alles bis auf diesen Port dicht machen, der Arzt kann sich nur die Bilder und Befunde im Browser ansehen. Der Zugriff kann bei Telemedizin ("WWW") notfalls eben auf einem extra Rechner erfolgen, der im externen telemdizinischen Netz (VPN zur externen Stelle) hängt – und die Befundübernahme erfolgt manuell.
        Mal rumgesponnen: Idealerweise hätte der Angreifer nur den Weg zum Telemedizin-Platz bekommen können – dann wäre quasi nichts passiert (mal die cve-2023-4966 unterstellt). Sollte er einen Zugang zur Radiologie erwischt haben (warum auch immer der am Internet hängt und nicht deaktiviert ist) könnte er den Server dort erwischt haben. Tobt er sich da aus kann er sämtliche Bilder & Befunde der Radiologie löschen, jedoch nichts im Krankenhaus. Der Arzt dort sieht nur keine Bilder mehr (sind ja gelöscht, der Browser bleibt leer), ist aber relativ sicher (und dein 15 Jahre altes Blutbild im Krankenhaus auch).

    • Steffen sagt:

      Ich finde es auch verwirrend.
      Ich denke das die Bilder nicht in das KIS gehen weil sonst das KIS bzw. die Epikrise aufgebläht wird sondern in ein PACS. (Ich glaub das .SHA wenn man SAP nutzt wird unglaublich langsam).

      Daher sind dann die Patientendaten / Akten "unberührt" jedoch vom Prozess Diagnose sind die Informationen verschwunden. DANN könnte es rund werden , -Wortklauberei, unmöglich! Und was Ich mich Frage:

      WENN Ich über das RIS eindringen kann , wie zur Hölle komme Ich dann an GF-Unterlagen. Wurden hier die Netze nicht gehärtet und WARUM stehle Ich nicht die Daten und versuche mir ein Bonu$ aus der Aktion zu besorgen?!

      Ich denke Es war ein Angreifer mit einen Tool und das Klinikum war ein Testobjekt. Das Löschen diente nur zur Überprüfung ob man erweiterte Rechte hat. Ich empfehle dem Klinikum, wie jedes andere auch in den B3S zu schauen wenn man schon auf Grundschutz keinen Bock hat und im Zweifelsfall den Fragenkatalog vom LSI

  2. Merlin sagt:

    Also mal zur Klarstellung.
    Die externen Zugriffe wurden 20 Minuten nach dem exploit gekapt.
    Die gelöschten Daten in 1h wiederhersgestellt.
    Die zerstörten Server nach 24h wieder aufgesetzt und die Datenbanken wiedereingespielt.
    48h danach kann der normale "produktive" Betrieb wieder voll aufgenommen werden.
    Ein Datenabfluss konnte nicht erfolgen.
    Das sind die Fakten

  3. michael sagt:

    So was geht halt nicht mit nach BAT bezahlten Admins die das als Hobby machen. Aber wie man sieht, geht das auch mit vielen IT Frickelbunden auch nicht die nur Umsatz generieren können ohne KnowHow.
    Das systemische Versagen von IT-Security der letzten Jahrzehnte fällt nun allen auf die Beine. Gut so.

  4. Martin sagt:

    Das da keine Patientendaten betroffen waren mag ich nicht glauben. Ich habe mal für 2 Krankenhäuser einer großen Kette gearbeitet. In dem kleinen Krankenhaus war die Bildgebung relativ Stand-Alone. Hier wurde aber manuell Name, GebDat und Fallnr für den Vorgang erfasst. Also mMn sind das schon personenbezogene Daten.

    Im 2. Haus war das ganze etwas größer und automatisierter: Über das KIS (in dem Falle SAP ish med) konnte ein Auftrag an die Radiologie geschrieben werden. Die Daten sind dann direkt im System der Radiologie gelandet. Die Aufnahmen sind dann direkt zurück an das KIS geschrieben wurden. Der Arzt hat sie dann am Befundungsplatz aufgerufen und seine Befundung (digital) diktiert und an das Schreibbüro übermittelt.

  5. Manuel Winkel (Deyda) sagt:

    Das passiert wenn man nicht auf externe hört. Ein IT Mitarbeiter wurden sogar proaktiv angeschrieben mit den Eckdaten des vorherigen CVE und beim zweiten Scan für Citrix Bleed war das System immer noch offen und ich habe mir die Mail gespart.

    Also ich würde die Schuld nun nicht auf den Citrix Bleed schieben, das kann auch ein älterer CVE gewesen sein.

    Die Angriffe sehen alle ähnlich aus, wenn sie mal drauf sind. Habe da auch schon vieles die letzten Wochen gesehen.

  6. R.S. sagt:

    Die Leute in der IT gehören schlicht gefeuert!
    Sicherheitsrelevante Patches müssen umgehend eingespielt werden.
    Solche Patches über Monate nicht einzuspielen ist mindestens grobe Fahrlässigkeit wenn nicht sogar Vorsatz!
    Und man muß auch nicht durch Externe auf vorhandene Patches hingewiesen werden, das hat die IT proaktiv regelmäßig selbst zu überprüfen, ob es Patches für die Systeme gibt.

  7. Norddeutsch sagt:

    Wow, Danke @topas + Anonymous. Den Ansatz hier von @Merlin: "Datenabfluss konnte nicht erfolgen" wage ich zu bezweifeln und verfrüht nicht zu validieren. Wer von extern Löschen kann – der kann auch ausleiten. Daher gehe ich mit Martins Annahme "nicht Glauben" mit.

    Es handelt sich bei Röntgenbildern um pbD's – selbst wenns nur "ein JPG mit Krebs und Text" plus Metadaten ist. Sie beinhalten als besonders schützenswerte Gesundheitsdaten idR Name, Geburtsdatum, Gesundheitsstatus (Erwägungsgrund 35 hier )
    Gerne lässt sich über Risikoniveau diskutieren. Ich sehe es definitiv NICHT als gering, es gelten diverse Dinge, Hilfe zb hier beim LDI NRW:
    – Es gilt nach Art. 33 Abs. 5 DS-GVO eine DokumentationsPFLICHT.
    – Es gilt ebenso eine MeldePFLICHT nach Art.33 Abs.1
    – Es kann sich ebenso BenachrichtigungsPFLICHT ALLER befundeten Personen ergeben.

    Dazu bleibt ein Beigeschmack und Optimierungspotential. Das was topas und Anonymous beschreiben muss zB noch keine saubere Segmentierung o. Trennung der CSMA Domains sein: topas nennt es "in unterschiedlichen Netzen – oder sollten es zumindest sein". IMHO also zumindest Dienstlimitierung auf OSI >= 3 oder 4 (Solang wie man zB keine lokale FW einzieht oder mit VPN arbeitet).
    Sorge macht mir ebenso die Forensik wenn schnell rückgespielt oder neu aufgesetzt wird, kann ich aber hier nicht beurteilen.
    @R.S. – feuern allein hilft nicht, oft gibt man Admins operativ nicht einmal die "Freiheit" + Zeit vernünftig zu patchen. Wir haben ebenso seit Jahren ein Defizit bei "Erwartung an IT" oder "blinder Erwartungshaltung vom Management":
    Das ist grob fahrlässiger IT-Betrieb entgegen JEDER mit bekannten Medizingeräte-Norm. Das ist weder compliant nocht rechtskonform und birgt Haftungsrisiken bis zur Chefetage. Das ist Management- und Organisationsversagen: Wenn selbst Warnungen vom Profi wie Manuel hier stumpf ignoriert werden … (schaut mal nach ihm, auch wenn ich keine MS-Lösungen oder O365 mehr mag ;-) Manuel ist fit und steckt mich bei SAML-Auth locker in die Tasche).

Schreibe einen Kommentar zu topas Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.