LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen

Für das Klinikum Esslingen kommt die Warnung wohl zu spät, die wurden wohl am 28. November 2023 Opfer eines Cyberangriffs über die ungepatchte Citrix Bleed-Schwachstelle. Nun ging am 30. November 2023 eine entsprechende Warnung in Form einer BWKG-Mitteilung 570/2023 an alle Geschäftführer von Krankenhäusern und Rehabilitationseinrichtungen in Baden-Württemberg. Dort wird vor Schwachstellen in Produkten des Herstellers CITRIX und VMware gewarnt. Ich nehme es mal im Blog auf, da es natürlich auch Kliniken, Rehaeinrichtungen und andere medizinische Einheiten in anderen Bundesländern betrifft.

Ein Blog-Leser hat mir als Reaktion zum Cyberangriff auf das Klinikum Esslingen (siehe "Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?) einen entsprechenden Hinweis zukommen lassen (danke dafür) und schrieb, dass die BWKG-Mitteilung 570/2023 vom 30. November 2023 an alle Geschäftsführer in Krankenhäuser und Rehabilitationseinrichtungen in Baden-Württemberg ging. Das Thema betrifft aber auch Einrichtungen außerhalb von BW.

Warnung vor Angriffen

Nachfolgend der Aufmacher aus dem Schreiben, welches mir vorliegt. Dort wird von der  Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg explizit vor einer Schwachstelle in CITRIX gewarnt und es heißt, dass ein Baden-Württembergisches Klinikum Opfer eines Cyberangriffs wurde, der unter Ausnutzung dieser Sicherheitslücken erfolgt ist. Also die Bestätigung meiner Vermutung im Beitrag "Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?.

570/2023

Im Schreiben wird Polizei BW heißt es, dass die Angreifer nach gegenwärtigen Erkenntnissen eine konkrete Sicherheitslücke ausnutzten und in der weiteren Folge unberechtigt Zugriff auf bestimmte Netzwerksegmente des Klinikums erlangten. Die  Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg geht davon, dass es sich um eine Sicherheitslücke eines Systems des Herstellers CITRIX handelt. Konkret wird die Schwachstelle  CVE2023-4966 (Citrix Bleed) im Citrix NetScaler ADC und NetScaler Gateway als Einfallstor verdächtigt. Die Polizei BW weist auf die entsprechenden Warnung des BSI und des US-CERT hin.

Warnung vor Citrix Bleed seit Oktober 2023

Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung CTX579459 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt. NetScaler ADC und NetScaler Gateway enthalten die folgenden, nicht authentifizierten Puffer-Schwachstellen:

• CVE-2023-4966: Sensitive information disclosure-Schwachstelle; CVSS Index 9.4;
• CVE-2023-4967: Denial of service-Schwachstelle; CVSS Index 8.2;

Citrix hat für betroffene und noch unterstützte Geräte Firmware-Updates bereitgestellt, die diese Schwachstellen patchen. Betroffen von diesen Schwachstellen sind die folgenden Citrix-Produkte und Firmware-Versionen:

• NetScaler ADC and NetScaler Gateway 14.1 before 14.1-8.50
• NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.15
• NetScaler ADC and NetScaler Gateway 13.0 before 13.0-92.19
• NetScaler ADC 13.1-FIPS before 13.1-37.164
• NetScaler ADC 12.1-FIPS before 12.1-55.300
• NetScaler ADC 12.1-NDcPP before 12.1-55.300 (beide Produkte sind End-of-Life und bekommen keine Updates mehr)

Ich hatte Ende Oktober 2023 im Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar über diese Schwachstelle berichtet. Sicherheitsforscher von Assenote hatten unter dem Titel "Citrix Bleed" eine Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches von Citrix im Artikel Citrix Bleed: Leaking Session Tokens with CVE-2023-4966 vorgelegt. Inzwischen ist bekannt, dass die Lockbit-Ransomware-Gruppe diese Schwachstelle ausnutzt (siehe Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus).

Ich vermute bereits beim Cyberangriff auf Convotis (siehe Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?) diese Schwachstelle als Angriffspunkt. Nun reiht sich das Klinikum Esslingen mit in die Liste der Opfer ein.

Indicators of Compromise (IOC) prüfen

Im BWKG-Schreiben heißt es weiter, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die amerikanische Behörde Cybersecurity & Infrastructure Agency (CISA) entsprechende Sicherheitswarnungen veröffentlicht haben. Außerdem wurden Indikatoren (indicators of compromise – IOCs) zusammengetragen, anhand derer ein möglicher Angriff aufgespürt werden kann. Hier ist der Download-Link von der BWKG-Seite:

Indikatoren zu aktueller Warnmeldung der Polizei zu bereits ausgenutzten Sicherheitslücken von Produkten des Herstellers CITRIX

In der BWKG-Mitteilung wird Einrichtungen und IT-Verantwortlichen dringend empfohlen, anhand dieser IOCs ihre Systeme auf mögliche Angriffe zu prüfen und entsprechende Maßnahmen einzuleiten. So ist es möglich, dass selbst nach einspielen von Updates, die von Angreifern genutzten Sitzungen weiterhin gültig sind. Daher ist es notwendig, nach der Installation von Updates alle aktiven und persistenten Sitzungen auf den Citrix-Instanzen zu terminieren.

Hinweis auf VMware-Schwachstellen

Zusätzlich wird in der BWKG-Mitteilung eine Warnung der Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-Württemberg vor Schwachstellen in VMware-Produkten wiedergegeben. Es heißt in der ZAC-Warnung, dass Produkte des Herstellers VMWare regelmäßig von Sicherheitslücken betroffen sein können und entsprechend fortlaufend durch die IT-Administratoren überprüft werden sollten. Es wurden folgende Dokumente verlinkt:

VMware Security Advisories
CERT Bund Kurzinformationen

Ergänzung: Laut diesem Artikel der Kollegen von Bleeping Computer fordert das US-Gesundheitsministerium Krankenhäuser auf, kritischen Citrix Bleed-Bug zu patchen.