![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Bei Convotis (geiger BDT) gab es ja einen Cyberangriff, in dessen Folge zahlreiche Kundensysteme (f\u00fcr Steuerberater, Wirtschaftspr\u00fcfer) offline genommen werden mussten. Nun hat das Unternehmen erstmals den Angriff best\u00e4tigt. Bisher ist unklar, was das Eindringen der Cyberangreifer erm\u00f6glicht hat. Meine Vermutung geht in Richtung schlecht gepatchte Citrix Netscaler ADC. Nachfolgend ein Abriss dessen, was ich bisher herausgefunden habe.<\/p>\n
<\/p>\n
Was auf den ersten Blick wie eine technische St\u00f6rung kommuniziert wurde, entpuppte sich nach meinen Informationen als Cyberangriff auf die Infrastruktur von Convotis im Bereich geigerCloud und geigerASP (siehe meinen Beitrag Neues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a>). F\u00fcr Kunden der beiden genannten Dienste eine Katastrophe, da nichts mehr ging – selbst Lohnabrechnungen waren nicht mehr m\u00f6glich.<\/p>\n Meinen Informationen nach versuchten Steuerberaterb\u00fcros sich gegenseitig durch lokal installierte Systeme (Lodas) zu behelfen, um zumindest Lohnabrechnungen durchf\u00fchren zu k\u00f6nnen. Kunden des Anbieters wurden per Mail informiert – und im oben verlinkten Blog-Beitrag hatte ich aus der Antwort der Datenschutzbeauftragten von Nordrhein-Westfalen zitiert, dass betroffene Kunden vorsorglich eine Meldung \u00fcber einen Datenschutzvorfall bei der zust\u00e4ndigen Datenschutzaufsicht einreichen sollten.<\/p>\n Meinen Informationen nach begann am 24. November 2023 der Wiederanlauf, der Schritt f\u00fcr Schritt durchgef\u00fchrt wurde. Inzwischen sollten alle Kundensysteme wieder funktional sein.<\/p>\n Bisher war der Cybervorfall bei Convotis nur an Kunden kommuniziert worden. Eine \u00f6ffentliche Stellungnahme gab es bisher nicht, meine Anfrage an den Anbieter ist bis heute unbeantwortet – m\u00f6glicherweise funktionieren deren Mail-Server immer noch nicht. Aber ein Blog-Leser hat mich auf eine Ad-Hoc News-Mitteilung<\/a> der Convotis GmbH hingewiesen, in der nun den Cybervorfall \u00f6ffentlich best\u00e4tigt wird.<\/p>\n Am gestrigen 27. November 2023 best\u00e4tigte eine Unternehmenssprecherin gegen\u00fcber dts (Deutsche Textservice Nachrichtenagentur GmbH), dass einen Cyberangriff gegeben habe, der am 21. November 2023 um 3:55 Uhr in K\u00f6ln registriert wurde. Als Sofortma\u00dfnahme wurden alle Kundensysteme heruntergefahren. Im dts-Artikel hei\u00dft es von einer Unternehmenssprecherin: \"Durch die schnelle Reaktion und die sofortige Trennung des Netzwerks konnte der Angriff auf die Kundensysteme erfolgreich verhindert werden.\"<\/p>\n Hatte ich beim ersten Beitrag \u00fcber den Vorfall noch ger\u00e4tselt, ob eventuell einzelne Kundensysteme gehackt wurden, bin ich zu einem sp\u00e4teren Zeitpunkt davon ausgegangen, dass die geiger BDT-Infrastruktur, die auf Servern im Rechenzentrum die Kundensysteme bereitstellt, angegriffen wurde. Dies wird inzwischen in obiger Formulierung best\u00e4tigt.<\/p>\n Auch meine Informationen aus diversen Quellen, dass eine Ransomware f\u00fcr den Ausfall verantwortlich war, wird im dts-Artikel best\u00e4tigt. Dort ist von einer hinterlassenen \"Ransom Note\" die Rede. Nach R\u00fccksprache mit dem Landeskriminalamt sei aber keine Verbindung zu den Angreifern aufgenommen worden, hei\u00dft es vom Unternehmen.<\/p>\n Was aus der Meldung noch hervorgeht: Die Kunden k\u00f6nnten mit einem blauen Auge davon gekommen sein, die Kundensysteme waren zwar einige Tage abgeschaltet und die Steuerberater nicht arbeitsf\u00e4hig. Das Unternehmen gibt aber an, es gebe bisher \"keine Hinweise darauf, dass Daten abgeflossen sind. Weder die automatischen Scans noch die manuellen \u00dcberpr\u00fcfungen zeigten Auff\u00e4lligkeiten.\" Die Kundensysteme seien seit dem 26. November 2023 Nachmittags wieder in Betrieb, hei\u00dft es weiter.<\/p>\n Aktuell ist unklar, wie die Ransomware-Gruppe auf die Infrastruktur der Convotis GmbH im geiger-BDT-Rechenzentrum, wo die obigen Dienste gehostet werden, eindringen konnten. Mein Gef\u00fchl, welches ich in diesem Kommentar<\/a> formuliert hatte, war ein Angriff \u00fcber Citrix Netscaler ADC, wobei mir die Citrix Bleed-Schwachstelle in Verbindung mit der Lockbit-Ransomware-Gruppe durch den Kopf ging.<\/p>\n Montag bekam ich den Hinweis, mir mal Informationen \u00fcber die Suchmaschine shodan.io<\/em> im Hinblick auf bestimmte Server von geiger BDT anzusehen. Mit dem Suchstring html:Citrix ssl:geiger org:\"Geiger BDT GmbH\"<\/em> werden mir in shodan.io verschiedene Citrix Netscaler AAA-Instanzen der Firma geiger BDT angezeigt.<\/p>\n Interessant war f\u00fcr mich, dass einzelne Server bei \"Last-Modified\" beispielsweise den 21. November 2023 anzeigen – die sind wohl auf einem aktuellen Patchstand. Aber ich habe den in obigem Screenshot einen Server aufgelisteten gefunden, der \"Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT\" aufweist. Der Server steht in H\u00fcllhorst (zwischen Osnabr\u00fcck und Hannover) und k\u00f6nnte f\u00fcr den Zugang zu den Servern benutzt worden sein.<\/p>\n Der 7. Juli 2023 macht mich dann doch etwas hibbelig, ich interpretiere das als \"letzten Patchstand\". Auf Github<\/a> gibt Telekom-Security die Time-Stamps f\u00fcr bestimmte Citrix-Firmware-Versionen in Verbindung mit CVE-2023-3519 an. Und dort taucht die Angabe \"Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT\" f\u00fcr die Firmware-Version 13.0-91.13 auf.<\/p>\n Ich hatte aber erst Ende Oktober 2023 im Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a> \u00fcber eine neue Schwachstelle beim NetScaler ADC berichtet. Citrix gibt in diesem Sicherheitshinweis<\/a>\u00a0NetScaler ADC and NetScaler Gateway\u202f13.0\u202fbefore 13.0-92.19<\/em> als angreifbar f\u00fcr die Schwachstellen CVE-2023-4966 und CVE-2023-4967 an. Obige Firmware-Version mit \"Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT\" w\u00e4re also f\u00fcr Citrix Bleed angreifbar.<\/p>\n Im Blog-Beitrag schrieb ich, dass Sicherheitsforscher von Mandiant beobachteten, dass Bedrohungsakteure seit Ende August 2023 die 0-Day Schwachstelle CVE-2023-4966\u00a0 ausnutzen, um Authentifizierungssitzungen zu stehlen und Konten zu kapern. Und im Beitrag Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a> hatte ich \u00fcber die doch drohende Gefahr berichtet. Gehe ich zur betreffenden IP-Adresse (die mir \u00fcbrigens im Browser als eine http-Seite ge\u00f6ffnet wird), erscheint eine Anmeldemaske (diese wird wegen http als nicht sicher gemeldet).<\/p>\n Ich habe mal den Server mit der betreffenden IP einem TLS-Test unterzogen. Obige Ergebnisseite zeigt zumindest, dass dieser Netscaler f\u00fcr DoS-Angriffe anf\u00e4llig ist. Zudem wird das benutzte Zertifikat bem\u00e4ngelt. Bei anderen IPs von geiger BDT Netscalern wird nur das Zertifikat bem\u00e4ngelt.<\/p>\n Dann lie\u00dfe sich noch die Seite hunter.now <\/em>(hunter.how\/list?searchValue=ip==\"IP-Adresse\") bez\u00fcglich der IP abfragen. Aktuell wird mir angezeigt, dass die IP aus Niederkassel zum 2. November bis 22. November 2023 angesprochen wurde. Dort taucht das \"Last-Modified: Fri, 07 Jul 2023 15:39:40 GMT\" regelm\u00e4\u00dfig im Header auf. Es mag sein, dass dieser Netscaler \u00fcberhaupt nichts mit der geiger BDT-Infrastruktur zu tun hat, die am 21. November 2023 angegriffen wurde. Aber wenn ich nichts v\u00f6llig falsch interpretiert habe, wirft es doch Fragen auf, warum ein Citrix Netscaler ADC von geiger BDT betrieben wird, der ein solches Last-Modified-Datum aufweist (k\u00f6nnte nat\u00fcrlich noch ein Honeypot sein, um die Angreifer auf ein Testsystem zu locken).<\/p>\n Anmerkung: Wegen der Diskussionen hier habe ich mal die IP-Adresse verschleiert – diese l\u00e4sst sich aber selbst leicht \u00fcber shodan.in ermitteln.<\/p><\/blockquote>\n \u00c4hnliche Artikel: netgo Opfer eines Cyberangriffs? (6. Nov. 2023)<\/a> Bei Convotis (geiger BDT) gab es ja einen Cyberangriff, in dessen Folge zahlreiche Kundensysteme (f\u00fcr Steuerberater, Wirtschaftspr\u00fcfer) offline genommen werden mussten. Nun hat das Unternehmen erstmals den Angriff best\u00e4tigt. Bisher ist unklar, was das Eindringen der Cyberangreifer erm\u00f6glicht hat. Meine … Weiterlesen Kurzer R\u00fcckblick auf das Thema: Ab dem 21. November 2023 gab es einen kompletten Ausfall der Dienste geigerCloud und geigerASP, die \u00fcber die Convotis GmbH vorwiegend an Steuerberater und Wirtschaftspr\u00fcfer angeboten werden. Ich hatte zeitnah im Blog-Beitrag Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a> \u00fcber diesen Vorfall berichtet.<\/p>\n
Convotis best\u00e4tigt Cybervorfall<\/h2>\n
Wie konnten die Angreifer eindringen?<\/h2>\n
![\"NetScaler](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/11\/geiger-NetScaler01a.jpg\" "\\"NetScaler")
<\/p>\n![\"TLS-Test](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/11\/geiger-NetScaler02.jpg\" "\\"TLS-Test")
<\/p>\n
\n<\/strong>Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>
\nNeues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a>
\nConvotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a><\/p>\n
\nSolvenius GmbH Webseite nicht erreichbar \u2013 hat jemand Informationen, was los ist?<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nCyberangriffe: Rostocker Stra\u00dfenbahn AG; Stadtverwaltung M\u00f6ssingen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"