LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen

Sicherheit (Pexels, allgemeine Nutzung)Für das Klinikum Esslingen kommt die Warnung wohl zu spät, die wurden wohl am 28. November 2023 Opfer eines Cyberangriffs über die ungepatchte Citrix Bleed-Schwachstelle. Nun ging am 30. November 2023 eine entsprechende Warnung in Form einer BWKG-Mitteilung 570/2023 an alle Geschäftführer von Krankenhäusern und Rehabilitationseinrichtungen in Baden-Württemberg. Dort wird vor Schwachstellen in Produkten des Herstellers CITRIX und VMware gewarnt. Ich nehme es mal im Blog auf, da es natürlich auch Kliniken, Rehaeinrichtungen und andere medizinische Einheiten in anderen Bundesländern betrifft.


Anzeige

Ein Blog-Leser hat mir als Reaktion zum Cyberangriff auf das Klinikum Esslingen (siehe "Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?) einen entsprechenden Hinweis zukommen lassen (danke dafür) und schrieb, dass die BWKG-Mitteilung 570/2023 vom 30. November 2023 an alle Geschäftsführer in Krankenhäuser und Rehabilitationseinrichtungen in Baden-Württemberg ging. Das Thema betrifft aber auch Einrichtungen außerhalb von BW.

Warnung vor Angriffen

Nachfolgend der Aufmacher aus dem Schreiben, welches mir vorliegt. Dort wird von der  Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg explizit vor einer Schwachstelle in CITRIX gewarnt und es heißt, dass ein Baden-Württembergisches Klinikum Opfer eines Cyberangriffs wurde, der unter Ausnutzung dieser Sicherheitslücken erfolgt ist. Also die Bestätigung meiner Vermutung im Beitrag "Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?.

BWKG-Mitteilung 570/2023 vom 30. November 2023 an alle Geschäftsführer in Krankenhäuser und Rehabilitationseinrichtungen in Baden-Württemberg

570/2023

Im Schreiben wird Polizei BW heißt es, dass die Angreifer nach gegenwärtigen Erkenntnissen eine konkrete Sicherheitslücke ausnutzten und in der weiteren Folge unberechtigt Zugriff auf bestimmte Netzwerksegmente des Klinikums erlangten. Die  Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg geht davon, dass es sich um eine Sicherheitslücke eines Systems des Herstellers CITRIX handelt. Konkret wird die Schwachstelle  CVE2023-4966 (Citrix Bleed) im Citrix NetScaler ADC und NetScaler Gateway als Einfallstor verdächtigt. Die Polizei BW weist auf die entsprechenden Warnung des BSI und des US-CERT hin.

Warnung vor Citrix Bleed seit Oktober 2023

Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung CTX579459 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt. NetScaler ADC und NetScaler Gateway enthalten die folgenden, nicht authentifizierten Puffer-Schwachstellen:

  • CVE-2023-4966: Sensitive information disclosure-Schwachstelle; CVSS Index 9.4;
  • CVE-2023-4967: Denial of service-Schwachstelle; CVSS Index 8.2;

Citrix hat für betroffene und noch unterstützte Geräte Firmware-Updates bereitgestellt, die diese Schwachstellen patchen. Betroffen von diesen Schwachstellen sind die folgenden Citrix-Produkte und Firmware-Versionen:

  • NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
  • NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
  • NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
  • NetScaler ADC 13.1-FIPS before 13.1-37.164
  • NetScaler ADC 12.1-FIPS before 12.1-55.300
  • NetScaler ADC 12.1-NDcPP before 12.1-55.300 (beide Produkte sind End-of-Life und bekommen keine Updates mehr)

Ich hatte Ende Oktober 2023 im Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar über diese Schwachstelle berichtet. Sicherheitsforscher von Assenote hatten unter dem Titel "Citrix Bleed" eine Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches von Citrix im Artikel Citrix Bleed: Leaking Session Tokens with CVE-2023-4966 vorgelegt. Inzwischen ist bekannt, dass die Lockbit-Ransomware-Gruppe diese Schwachstelle ausnutzt (siehe Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus).


Anzeige

Ich vermute bereits beim Cyberangriff auf Convotis (siehe Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?) diese Schwachstelle als Angriffspunkt. Nun reiht sich das Klinikum Esslingen mit in die Liste der Opfer ein.

Indicators of Compromise (IOC) prüfen

Im BWKG-Schreiben heißt es weiter, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die amerikanische Behörde Cybersecurity & Infrastructure Agency (CISA) entsprechende Sicherheitswarnungen veröffentlicht haben. Außerdem wurden Indikatoren (indicators of compromise – IOCs) zusammengetragen, anhand derer ein möglicher Angriff aufgespürt werden kann. Hier ist der Download-Link von der BWKG-Seite:

Indikatoren zu aktueller Warnmeldung der Polizei zu bereits ausgenutzten Sicherheitslücken von Produkten des Herstellers CITRIX

In der BWKG-Mitteilung wird Einrichtungen und IT-Verantwortlichen dringend empfohlen, anhand dieser IOCs ihre Systeme auf mögliche Angriffe zu prüfen und entsprechende Maßnahmen einzuleiten. So ist es möglich, dass selbst nach einspielen von Updates, die von Angreifern genutzten Sitzungen weiterhin gültig sind. Daher ist es notwendig, nach der Installation von Updates alle aktiven und persistenten Sitzungen auf den Citrix-Instanzen zu terminieren.

Hinweis auf VMware-Schwachstellen

Zusätzlich wird in der BWKG-Mitteilung eine Warnung der Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg vor Schwachstellen in VMware-Produkten wiedergegeben. Es heißt in der ZAC-Warnung, dass Produkte des Herstellers VMWare regelmäßig von Sicherheitslücken betroffen sein können und entsprechend fortlaufend durch die IT-Administratoren überprüft werden sollten. Es wurden folgende Dokumente verlinkt:

VMware Security Advisories
CERT Bund Kurzinformationen

Ergänzung: Laut diesem Artikel der Kollegen von Bleeping Computer fordert das US-Gesundheitsministerium Krankenhäuser auf, kritischen Citrix Bleed-Bug zu patchen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen

  1. Carsten sagt:

    Moin, eine einfache Suche mit Shodan am Freitag zeigte, dass in Deutschland allein 84 verwundbare Citrix Installationen online waren. An diesen Installationen hängt sozusagen ein großes Schild "Hack Me NOW!".

    • R.S. sagt:

      Erschreckend.
      Das heißt, die IT bei diesen 84 Firmen pennt tief und fest.

      • Starmanager sagt:

        Ware das nicht eine Aufgabe des BSI solche Warungen an die betroffenen Betriebe abzugeben? Die wichtigen Einrichtungen bei der Sicherung zu unterstuetzen. Es kann doch nicht immer so weitergehen mit den Hack Angriffen auf unsere Versorgungseinrichtungen.

        • Anonymous sagt:

          Diese Frage stelle ich mir seit Jahr & Tag.

        • Kjörg sagt:

          Das BSI gibt regelmäßig diese Warnungen raus.

          https://wid.cert-bund.de/portal/wid/kurzinformationen

          Es ist Aufgabe der Verantwortlichen das zu prüfen und die vorhandenen Patches einzuspielen oder Systeme vom Netz zu nehmen.

          Das Mantra: Ja, wissen wir Bescheid. Uns passiert eh nix, Notfallpatches haben wir noch nie gemacht und das System bleibt auch online.

          Muss weichen letztendlich dann auch durch personelle Konsequenzen bis sich das mal ausgeschlichen hat.

        • R.S. sagt:

          Ja, frage ich mich auch.
          Ich kenne da einen Fall, bei dem jemand vor einigen Jahren etwas im Verzug mit der Migration seines alten Exchange-Servers war.
          Er hat dann vom BSI eine E-Mail erhalten, das sein Exchange veraltet sei und keine Sicherheitsupdates mehr bekommt.

  2. pau1 sagt:

    Die Tagesschau.de sieht das auch ortsbezogen…

    https://www.tagesschau.de/inland/regional/mecklenburgvorpommern/ndr-hacker-legen-kreisverwaltung-vorpommern-ruegen-lahm-100.html

    Das hier und dort erwähnte Opfer inros-lackner.de hatte auch Cisco und atalassian Lizenz Tokens im DNS stehen..und wohl auch benutzt.
    Ich stelle mir das Hüten eines Sacks Flöhe einfacher vor als die Wartung solcher "colaborativer" Systeme… zumal jeder Floh einen eigenen Überlebenswillen hat, was bei vielen Usern und Verantwortlichen wohl nicht immer der Fall zu sein scheint…

    Ich fürchte, dass das mal wieder ein Beleg für die Regel ist, die besagt, dass man soziale Probleme nicht mit Technik lösen kann…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.