Ende November 2023 wurde bekannt, dass der Ingenieur-Dienstleister Inros Lackner SE Opfer eines Ransomware-Angriffs wurde. Dauerte zwar einige Zeit, bis dies bestätigt wurde – aber es ist klar, dass es ein Ransomware-Angriff war. Für mich stellte sich die Frage, wie die Angreifer in das IT-Netzwerk des Ingenieur-Dienstleisters eindringen konnten. Der Verdacht, dass eine Citrix-Schwachstelle (Citrix Bleed) eine Rolle spielte, verdichtet sich.
Anzeige
Inros Lackner SE ist nach eigener Aussage eines der führenden Generalplanungsunternehmen in Deutschland. Mehr als 700 Mitarbeitende realisieren anspruchsvolle Architektur- und Ingenieurlösungen weltweit (von Gebäudeplanung bis hin zu Hafenprojekten). Die wickeln um die 950 Projekte per Jahr ab und sind auch international tätig.
Rückblick auf den Cyberangriff
Zum 27. November 2023 hatte ich im Blog-Beitrag Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja! erwähnt, dass mir Informationen vorliegen, dass die Firma Opfer eines Cyberangriffs geworden sei. Die Belegschaft wurde nach meinen damaligen Informationen nach Hause geschickt, während alle Rechner in der Firma bleiben müssen. Weiterhin hieß es, dass auch Dateien auf Arbeitsplätzen verschlüsselt worden seien. Ich bekam diesen Sachverhalt aus zwei unabhängigen Quellen bestätigt.
Inros Lackner SE Cybervorfall
Anzeige
Später informierte ein Leser mich darüber, dass Inros Lackner SE den Cyberangriff auf der Unternehmenswebseite bestätigt hat. Diese Information findet sich nun (Mitte Dezember 2023) immer noch auf der Firmenseite – sprich: Die Firma ist sechs Wochen später immer noch nicht über den Cyberangriff hinweg.
Gravierende Folgen in anderen Fällen
Der Vorfall zeigt, welch gravierende Folgen ein Cyberangriff für die Unternehmen haben kann. Im Beitrag Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen hatte ich ja die letzten Wochen über einen ähnliche Vorfall bei einem kommunalen IT-Dienstleister berichtet, die ebenfalls seit Ende November 2023 durch einen Cyberangriff der Ransomware-Gruppe Akira ausgeknockt sind.
Und mir ist die Tage der obige Tweet, der auf diesen Artikel verweist, unter die Augen gekommen. Der Beitrag thematisiert die Insolvenz eines Textilunternehmens – genannt wird die Erfo Bekleidungswerk GmbH & Co. KG, ein Hersteller im Bereich Kleider und Blusen. Hier war das Unternehmen nach Corona wieder auf einem guten Weg, aber ein Cyberangriff war wohl der letzte Stoß für das Aus.
Citrix-Schwachstelle bei Inros Lackner SE?
Die spannende Frage ist bei den ganzen Cybervorfällen, wie die Angreifer in den Systeme gekommen sind.
Ähnliche Fälle mit Citrix
Beim Klinikum Esslingen hatte ich im Beitrag "Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt? darauf hingewiesen, dass deren IT-Netzwerke über eine Schwachstelle im Citrix Netscaler ADC kompromittiert wurden. Als Folge gab es dann eine Warnung des LKA Baden-Württemberg an Gesundheitseinrichtungen (LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen). Dort wurde darauf hingewiesen, dass in Esslingen die Citrix Bleed genannte Schwachstelle ausgenutzt worden war. Über Citrix Bleed hatte ich hier im Blog berichtet (siehe Links am Artikelende). Von einer Quelle weiß ich, dass diese einen IT-Mitarbeiter der Klinik im August 2023 auf einen ungepatchten Citrix Netscaler ADC hingewiesen hatte.
Und bei Cyberangriff auf geiger BTT (siehe Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?) liegen mir starke Hinweise vor, dass ebenfalls ungepatchte Citrix Netscaler ADC den Angriff ermöglichten.
Was weiß ich zu Inros Lackner SE?
Kommen wir zu Inros Lackner SE zurück. Im Web habe ich bei Recherchen die Information gefunden, dass deren IT-Personal mit Citrix arbeiten muss (z.B. Stellenausschreibungen für IT-Leitungsaufgaben). Auf shodan.io habe ich zwar zur Firma aktuell nichts gefunden (liegt aber an meinen begrenzten Ressourcen/Kenntnissen im Umgang mit shodan.io).
Von einer weiteren Quelle weiß ich aber, dass diese vor den Cyberangriffen das deutsche Internet auf Citrix-Instanzen gescannt hat. Dabei wurde auch eine ungepatchte Citrix-Instanz gefunden. Meinen Informationen nach wurde die IT von Inros Lackner SE damals über "Probleme in Verbindung mit ungepatchten Citrix-Systemen" informiert.
Ergänzung: Mit den richtigen Suchbegriffen stoße ich auf ein Citrix Gateway, welches zum 22. November 2023 wohl letztmalig aktualisiert wurde. Und nun wird es interessant: Mein Beitrag Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus datiert vom 15. November 2023 – Citrix hat die Sicherheitswarnung CTX579459 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) zum 10. November 2023 herausgegeben. Mein Erstbeitrag zum Cyberangriff datiert vom 27. November 2023.
Das lässt nun durchaus diverse Gedankenspiele zu – beispielsweise, dass die Angreifer vor oder zwischen dem 10. und dem 22. November 2023 die Schwachstelle genutzt haben, um Zugangsdaten (Credentials) per Citrix Bleed vom Citrix-Gateway abzuziehen. Danach stand der Zugriff auf das IT-Netzwerk der Firma offen. Ist zwar nur eine Spekulation meinerseits, anhand einiger weniger Informationen, die mir vorliegen.
Genau in diese Richtung scheinen aber die bei Inros Lackner SE tätigen IT-Forensik-Spezialisten zu ermitteln. Ich habe Informationen, das genau bezüglich der Meldung über eine angreifbare Citrix-Instanz samt den damals ermittelten Testergebnissen geforscht wird. Mal schauen, ob diese Information irgendwann bestätigt und das Einfallstor bekannt wird.
Ähnliche Artikel:
Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!
Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen
Neues vom Cybervorfall bei Convotis (GeigerCloud/GeigerASP), Desaster für Steuerberater?
netgo Opfer eines Cyberangriffs? (6. Nov. 2023)
Solvenius GmbH Webseite nicht erreichbar – hat jemand Informationen, was los ist?
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
"Cyber-Angriff" auf Klinikum Esslingen – Citrix-Bleed ausgenutzt?
LKA BW: Warnung an Krankenhäuser und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen
Citrix Bleed: Schwachstelle CVE-2023-4966 verrät Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verfügbar
Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus
Anzeige
Dem Ingenieur ist nichts zu schwör. Ein IT-Ingenieur wäre vielleicht gut gewesen dort zu haben.
Bin nicht sicher, ob es einen "IT-Ingenieur" gibt. Ich habe zwar ein Diplom als Ingenieur einer FH, aber im nebenberuflich einige Semester belegten Studium der Mathematik und Informatik war nie die Rede davon, dass man "Ingenieur werden könne" – die sahen sich erinnerungsmäßig als Naturwissenschaftler.
Ist vielleicht auch der Grund, warum ich mit Informatikern recht hart ins Gericht gehe, weil ich in meiner Zeit als Ingenieur sehr häufig mit Informatikern zu tun hatte, und die schlicht mit ihrer Denke nicht zu dem kompatibel waren, was ich im Umfeld der Prozessleittechnik und -Steuerung sowie bei SCADA-Systemen, die ich entwickeln ließ, brauchte.
Hinzu kommt halt in obigem Fall noch, dass die IT sich oft gegenüber der Geschäftsleitung schwer tut – denn die sind ein Kostenblock, der nichts zum Geschäftsergebnis beiträgt, im Zweifelsfall aber wegen diverser Abhängigkeiten (Cloud, MS-Lizenzen, weiterer Lizenzen für Planungssoftware) den Geldtopf, der das Geschäftsergebnis darstellen soll, kräftig leer saugen.
Das habe ich und unzählige andere, die im selben Umfeld gearbeitet haben, wie Du, ebenfalls zu Genüge erfahren müssen.
Jedoch: "denn die sind ein Kostenblock, der nichts zum Geschäftsergebnis beiträgt"
Nun ja, dieses Argument kennt man.
Aber mal ganz ehrlich. Ohne IT wären zig Unternehmen überhaupt gar nicht erst geschäftsfähig.
Ist wie immer eine Frage, durch welche Brille man schaut.
Anstrengendes "gegen-Windmühlen-laufen" …
Ich war nie "IT", sondern Inhouse-Dienstleister im Ingenieurbereich, der seine Software und Entwicklerstunden für Inhouse- und externe Kunden gegen Geld und gute Worte anbieten konnte. Ich hatte ein geniales Team, bekam aber vom Großunternehmen eine nicht funktionierende Organisationsstruktur übergestülpt. Gut 2 Jahre nach meinem Exit wurde die gesamte Unternehmensstruktur von einem Kaufmann zerschlagen und der gesamte Ingenieurbereich verkauft. Ein Teil der Business-Units, die daraus hervorgegangen sind, sind mittlerweile Pleite.
Hätte ich mir nie träumen lassen, dass mein Abgang dieses Chaos verursacht ;-). Scherz beiseite, ich habe den "Braten rechtzeitig gerochen" und den Exit geschafft.
Bin dann IT-Autor und später -Blogger geworden. Ab da galt: Ist der Ruf erst ruiniert, schreibt sich's gänzlich ungeniert.
Vielen Dank an den Kaufmann. Der hat es dir ermöglicht, uns hier als IT-Autor und Blogger uns hier mit vielen guten Artikeln zu versorgen ;-) Nicht immer ist die IT als Verursacher der "Lücken" ursächlich. Ich habe in Jahren Aussendienst im Systemhaus erlebt, wie "wichtig" IT in manchen Unternehmen ist. Wenn man zum Rapport eingeladen wird bei der Geschäftsführung, warum man den die Excel Tabelle mit Passwörtern des vorherigen Admins nicht kennt und den Usern leider ihre Passwörter nicht mitteilen kann :-) Leider sind die Informationen im Falles eines Hacks immer sehr dürftig, weil kein Unternehmen gerne die Fehler zugibt. Es wäre durchaus interessant, welche IT-Security Maßnahmen im Unternehmen vorhanden waren, wie viele Personen diese administrieren und welche Lücke genau dann den Zugang ermöglichte. Falls einer dazu eine Studie machen möchte, nur zu.
Kein Mitleid!
Wenn man schon auf ungepatchte Systeme hingewiesen wird und dann nichts macht, ist das schon Vorsatz!
Anscheinend wollte der ITler mal live erleben, wie es ist, wenn man gehackt wird.
Es zeigt sich leider immer häufiger, das Systeme nur deswegen gehackt werden konnten, weil die IT schlafmützig war und Patches nicht zeitnah eingespielt hat.
Es geht nicht um Mitleid – das hilft den Betroffenen Null! Mir geht es bei den Beiträgen darum, den IT-Verantwortlichen, die hier mitlesen, aufzuzeigen, was Sache war, und ggf. Munition bzgl. der Argumentation gegenüber Geschäftsleitung und Controlling zu liefern. Wobei ich im aktuellen Fall "vermuten" muss, da meine Quelle vorerst nicht zitiert werden möchten – und ich keinen Einblick in den Sachstand der Forensiker habe. Aber es gibt, wie in vielen Fällen, halt Puzzleteile, die ich über verschiedene Ecken zugespielt bekomme – und diese Teile ergeben ein Gesamtbild, zwar mit Lücken, aber oft kann man erkennen, was schief lief.
Systeme werden wegen der Fehler in den Systemen gehackt…
Jain! Die Fehler sind natürlich Voraussetzung für den Angriff. Wenn aber
1) Fehler bekannt sind
2) Angriffe über diesen Fehler bekannt sind
3) Fehlerbehebungen (Patches/Workarounds) existieren
4) Auch noch Hinweise kommen, dass "eine Tür offen steht"
und dann immer noch nicht — unverzüglich! — gehandelt wird, dann verursacht das bei mir arge Kopfschmerzen.
Natürlich weiß ich nicht, wie die Kompetenzen der IT in so einigen Betrieben geregelt sind, aber manchmal bekomme ich den Eindruck, dass nicht gehandelt werden darf, weil irgend ein "wichtiger Entscheider" außerhalb der IT dazwischengrätscht und verlangt, dass die Systeme aktuell online bleiben müssen. Als ausführender Admin muss man dann aber auch mal auf die Kacke hauen und auf die Dringlichkeit des Handelns hinweisen, in Verbindung mit vollständiger Zurückweisung jeglicher Verantwortung im Schadensfall. Entweder trauen sich so manche Admins nicht oder sie können sich nicht durchsetzen. Im letzteren Fall sollte man sich aber unbedingt in irgendeiner Form absichern, um im Schadensfall nicht doch zum Sündenbock zu werden.
Sollte der Admin aber selber schlafmützig gewesen sein oder riskant auf Zeit gespielt haben ("machen wir am übernächsten Wochenende, da ist wenig Betrieb"), dann kann er die Munition ruhig einlegen, die Waffe dann aber unbedingt auf sich selber richten.
Niemand ist absolut fehlerfrei, nur wer überhaupt nichts macht, macht auch keine Fehler, heisst es so schön. Im Falle von IT ist das absolute Nichtstun aber dann der Fehler schlechthin, jedenfalls in so einer Situation.
Wir haben zum Glück vor vielen Jahren bei Citrix schon die Reißleine gezogen.
Natürlich haben wir regelmäßig gepatcht. Aber das Produkt (XenApp) und der Netscaler wurden einfach viel zu komplex für überschaubare Umgebungen. Hätte Citrix das SecureGateway als kleine Appliance herausbracht, statt die Anwender auf diesen Moloch Netscaler zu zwingen, wäre vielen viel Angriffsfläche erspart geblieben.
Mit Citrix DaaS brauchst doch das alles nicht. Dann wird die Anmeldung/Auth direkt bei Citrix durchgeführt und dann weitergeleitet zur Application. Vorteil es wird dann alles zentral gepatcht.
K.I.S.S.
Es würde niemand heute noch auf die Idee kommen ein Schiff ohne "Schotten" zu bauen. Einfach weil man den Schaden gering halten will, wenn es denn zur Havarie kommt.
Anscheinend hat sich das Prinzip der "Schotten" noch immer nicht auf IT übertragen…
Doch, das Schotten-Prinzip ist in der IT bekannt: "Sparen bis es kracht" …
Bei Stellenangebote liest man:
"Vom 25.11.2023 bis 04.12.2023 erreichten uns keine Bewerbungen über unser Bewerberportal.
Sollten Sie sich in dieser Zeit über unser Bewerberportal bei uns beworben haben, bitten wir Sie, Ihre Bewerbung erneut nur als pdf-Format unter Angabe der Stelle sowie des Standortes per E-Mail an folgende Adresse zu senden"
Email scheint wieder zu funktionieren.
Es wird immer noch eine Handy Nummer auf der Homepage angeboten.
Das Bewerberportal hatten sie wohl nicht auf ihrem Notfallplan.
Die Warnung von Citrix müsste aber am 10.10 gewesen sein und nicht am 10.11?
Bin mir nicht sicher, wann die Warnung publiziert wurde, aber einen Monat später hätte niemand drüber berichtet