![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Das Klinikum Esslingen (bei Stuttgart) ist wohl am 28. November 2023 Opfer eines Cyberangriffs geworden. Das geht aus einer Pressemitteilung von gestern hervor. Beim Angriff \u00fcber einen \"Fernzugang\" konnten der oder die Angreifer Sch\u00e4den auf Servern – vor allem im Bereich Radiologie anrichten. Wenn meine Informationen stimmen, kamen die Angreifer \u00fcber die als Citrix Bleed bezeichnete Schwachstelle auf die Server des Klinikums.<\/p>\n
<\/p>\n
Das Klinikum gibt an, dass nach aktuell vorliegenden Informationen eine unbekannte Person \u00fcber Fernzugriff in die IT-Systeme des Krankenhauses eingedrungen sei. Dann ist es dem Angreifer wohl gelungen, dort gezielt Schaden im Bereich einiger Server anzurichten. Explizit gibt man nicht an, was passiert ist, aber ich lese aus der Mitteilung, dass Dateien gel\u00f6scht wurden (ob durch Verschl\u00fcsselung oder per Wiper, ist offen).<\/p>\n Das Klinikum schreibt, dass vom Cyberangriff in erster Linie die bildverarbeitenden Systeme in der Radiologie betroffen sind. Auch in Mitleidenschaft gezogen worden sei die Bildgebung im Bereich Ultraschall- und Endoskopie. Im Bereich der Verwaltung wurden zudem unternehmensinterne Daten gel\u00f6scht.<\/p>\n Die Patientendaten im Krankenhausinformationssystem seien nicht davon betroffen, hei\u00dft es in der Mitteilung. Das erscheint mir aber ein Widerspruch zur Aussage, dass in der Radiologie Dateien gel\u00f6scht wurden (waren das keine Patientendaten?, hier h\u00e4tte ich mir mehr Klarheit erhofft). Der Krankenhausbetrieb l\u00e4uft daher auch weiter, versichert das Klinikum. Allerdings kommt es durch den anhaltenden Ausfall bei den bildgebenden Systemen zu sp\u00fcrbaren Behinderungen in den Abl\u00e4ufen.<\/p>\n In seiner Mitteilung versichert das Klinikum, dass sofort nach Entdeckung des Angriffs die IT-Abteilung des Klinikums gemeinsam mit Experten einer Sicherheitsfirma umfangreiche Ma\u00dfnahmen eingeleitet h\u00e4tten, um die Ausbreitung des Angriffs zu stoppen und die Situation umf\u00e4nglich zu analysieren. Die Krankenhausleitung habe einen Krisenstab eingerichtet und die Polizei eingeschaltet, hei\u00dft es.<\/p>\n \"Wir haben sofort mit der Analyse begonnen und den Zugang zu allen relevanten Systemen gesperrt. Durch das schnelle Handeln konnten wir mutma\u00dflich weitere negativen Auswirkungen unterbinden. Die Patientensicherheit und -versorgung war zu keinem Zeitpunkt gef\u00e4hrdet ist es auch weiterhin nicht.\", l\u00e4sst sich Gesch\u00e4ftsf\u00fchrer Matthias Ziegler in der Mitteilung zitieren.<\/p>\n Es wird auch versichert, dass die IT-Abteilung des Klinikums mit den beteiligten Firmen nun unter Hochdruck daran arbeitet, alle notwendigen Ma\u00dfnahmen zur Wiederherstellung die Systeme einzuleiten. \"Mit der Wiederherstellung der Systeme wurde bereits begonnen und wir gehen davon aus, dass wir innerhalb der n\u00e4chsten 24 Stunden wieder einen vollst\u00e4ndig funktionierenden Krankenhausbetrieb haben werden,\" so Markus W\u00f6lfer, Leiter der IT Abteilung.<\/p>\n Meine Quelle berichtete mir, dass f\u00fcr den Angriff wohl die die Citrix Netscaler Schwachstelle vom August 2023 ausgenutzt wurde. Sofern dieser Hinweis stimmt, und Citrix dort eingesetzt wurde, d\u00fcrfte es sich um die NetScaler-Schwachstelle CVE-2023-4966 handeln. Sicherheitsanbieter Mandiant hatte eine laufende Ausnutzung dieser Schwachstelle entdeckt. Mandiant gab an, dass Bedrohungsakteure seit Ende August 2023 die 0-Day Schwachstelle CVE-2023-4966\u00a0 ausnutzen, um Authentifizierungssitzungen zu stehlen und Konten zu kapern. Dadurch k\u00f6nnen Angreifer die Multifaktor-Authentifizierung oder andere starke Authentifizierungsanforderungen umgehen.<\/p>\n Ich habe mal kurz in shodan.io geschaut – in der Tat kommen im Klinikum Esslingen der Citrix Netscaler AAA sowie das Citrix Gateway zum Einsatz. Und ich habe dort auch Informationen gefunden, die auf einen Patchstand vom 10. Juli 2023 hindeuten. Sofern dies zutrifft, wird die Geschichte rund.<\/p>\n Ich hatte aber erst Ende Oktober 2023 im Beitrag Citrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a> \u00fcber eine Schwachstelle beim NetScaler ADC berichtet. Sicherheitsforscher von Assenote hatten unter dem Titel \"Citrix Bleed\" eine Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches von Citrix im Artikel Citrix Bleed: Leaking Session Tokens with CVE-2023-4966<\/a> vorgelegt.<\/p>\n Citrix hat f\u00fcr die Schwachstelle ein Firmware-Update bereitgestellt, so dass gepatchte Netscaler ADC abgesichert sind. Inzwischen ist bekannt, dass die Lockbit-Ransomware-Gruppe diese Schwachstelle ausnutzt (siehe Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a>). Ich vermute bereits beim Cyberangriff auf Convotis (siehe Convotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a>) diese Schwachstelle als Angriffspunkt. Demnach k\u00f6nnte das Klinikum Esslingen ein weiteres Opfer der nicht schnell genug gepatchten Citrix Beed-Schwachstelle geworden sein.<\/p>\n Mir liegt ein Schreiben vor, in dem alle Gesch\u00e4ftsf\u00fchrer in Krankenh\u00e4user und Rehabilitationseinrichtungen in Baden-W\u00fcrttemberg zum 30. November 2023 vor Sicherheitsl\u00fccken in Citrix-Produkten gewarnt wurden. Im Dokument warnt die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-W\u00fcrttemberg vor den Schwachstellen und schreibt.<\/p>\n \u201eDer Polizei Baden-W\u00fcrttemberg ist ein aktueller Cyberangriff gegen ein Baden-W\u00fcrttemberger Klinikum bekannt geworden. Nach gegenw\u00e4rtigen Erkenntnissen nutzten die Angreifer eine Die entsprechende Sicherheitsl\u00fccke ist mit der Bezeichnung CVE2023-4966 erfasst. Betroffen sind die CITRIX-Produkte \u201eNetScaler ADC\" und \u201eNetScaler Gateway\" mit bestimmten Versionsnummern. Sowohl das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) als auch das US-amerikanische CERT haben entsprechende Sicherheitswarnungen und bekannte Indikatoren (IoC) zusammengetragen und ver\u00f6ffentlicht. Demnach wird die Sicherheitsl\u00fccke auch von Ransomware-Gruppen ausgenutzt. Erpresserische Verschl\u00fcsselungsangriffe sind demzufolge nicht auszuschlie\u00dfen.\"<\/p><\/blockquote>\n Also der Puzzlestein, der meine obige Theorie, die ich vor Kenntnis der Warnung erhielt, best\u00e4tigt. Inzwischen werden Kliniken und Rehaeinrichtungen in Baden-W\u00fcrttemberg vor der Citrix-Schwachstelle gewarnt (siehe mein Beitrag LKA BW: Warnung an Krankenh\u00e4user und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen<\/a>).<\/p>\n \u00c4hnliche Artikel:<\/strong> Das Klinikum Esslingen (bei Stuttgart) ist wohl am 28. November 2023 Opfer eines Cyberangriffs geworden. Das geht aus einer Pressemitteilung von gestern hervor. Beim Angriff \u00fcber einen \"Fernzugang\" konnten der oder die Angreifer Sch\u00e4den auf Servern – vor allem im … Weiterlesen Ein Blog-Leser hat mich in einer privaten Nachricht auf Facebook \u00fcber den Vorfall in Kenntnis gesetzt. Das Klinikum Esslingen<\/a> hat 655 Betten und schreibt in einer Pressemitteilung<\/a> vom 29. November 2023, dass man \"am gestrigen Dienstag gegen 17.00 Uhr\" (also am 28. November 2023) einen Hackerangriff auf die IT-Infrastruktur des Klinikums Esslingen festgestellt habe.<\/p>\n
![\"Cyberangriff](\"https:\/\/i.postimg.cc\/Qxzn5Vwb\/image.png\")
<\/a><\/p>\nNur Teilbereiche betroffen<\/h2>\n
Wir haben sofort reagiert …<\/h2>\n
War Citrix Bleed das Einfallstor?<\/h2>\n
Citrix Bleed als Einfallstor best\u00e4tigt<\/h2>\n
\nkonkrete Sicherheitsl\u00fccke aus und erlangten in der weiteren Folge unberechtigt Zugriff auf bestimmte Netzwerksegmente. Augenscheinlich handelt es sich um eine Sicherheitsl\u00fccke eines
\nSystems des Herstellers CITRIX. CITRIX-Produkte werden oftmals als VPN-Dienst f\u00fcr Fernzugriffe und als Firewall verwendet.<\/p>\n
\nCitrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a>
\nCitrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a>
\nConvotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"