Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten
Der Ransomwareangriff auf die Uniklinik Düsseldorf erfolgte über eine Sicherheitslücke in Geräten der Firma Citrix. Die "Shitrix" genannte Lücke wurde im Dezember 2019 bekannt, im Januar kam es zu massenhaften Angriffen. Die Angreifer hatten dabei wohl eine Hintertür platziert, durch die sie auch nach dem Update Zugriff auf die kompromittierten Geräte erhielten. In der Uniklinik Düsseldorf kam es durch den Ransomwareangriff zu einem Todesfall.
Dass der Angriff mit der Citrix-Lücke zu tun hat, geht aus einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor: "Dem BSI werden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch haben Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinter liegende Netzwerke."
Bei der Sicherheitslücke handelt es sich um mehrere Schwachstellen in Perl-Skripten, die auf Netscaler-Geräten von Citrix laufen. Durch Verkettung dieser Lücken konnte auf den Geräten relativ trivial Code ausgeführt werden. Citrix hatte vor der Lücke bereits Mitte Dezember 2019 gewarnt, die Firma hatte aber für mehrere Wochen kein Update bereitgestellt. Die Angriffe konnten jedoch durch eine Konfigurationsänderung verhindert werden.
Mitte Januar waren alle ungeschützten Systeme kompromittiert
Im Januar wurden weitere Details zu der Lücke bekannt, als die ersten Exploits auftauchten, kam es innerhalb sehr kurzer Zeit zu massenhaften Angriffen. In einem Kommentar schrieb Golem.de am 14. Januar: "Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten."
Wie aus der BSI-Meldung hervorgeht, haben viele Firmen und Institutionen irgendwann die Gegenmaßnahmen umgesetzt oder den Patch, der erst Ende Januar verfügbar war, installiert. Sie haben aber die betroffenen Systeme, die zu diesem Zeitpunkt bereits unter der Kontrolle von Angreifern standen, nicht neu installiert. Das ist wohl auch in der Uniklinik Düsseldorf passiert.
alle die bedingungen sind mit Oder geknüpft, jedoch finde ich mehrere die treffen...
Man muss als erste Grundbedingung , bevor man hier überhaupt anfängt zu diskutieren, erst...
Ja man kann alles in lächerliche ziehen. Gibt keinen Grund warum sich eine Softare...
x