{"id":288809,"date":"2023-12-01T01:12:12","date_gmt":"2023-12-01T00:12:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=288809"},"modified":"2023-12-03T03:04:55","modified_gmt":"2023-12-03T02:04:55","slug":"lka-bw-warnung-an-krankenhuser-und-rehabilitationseinrichtungen-vor-citrix-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/01\/lka-bw-warnung-an-krankenhuser-und-rehabilitationseinrichtungen-vor-citrix-schwachstellen\/","title":{"rendered":"LKA BW: Warnung an Krankenh&auml;user und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>F\u00fcr das Klinikum Esslingen kommt die Warnung wohl zu sp\u00e4t, die wurden wohl am 28. November 2023 Opfer eines Cyberangriffs \u00fcber die ungepatchte Citrix Bleed-Schwachstelle. Nun ging am 30. November 2023 eine entsprechende Warnung in Form einer BWKG-Mitteilung 570\/2023 an alle Gesch\u00e4ftf\u00fchrer von Krankenh\u00e4usern und Rehabilitationseinrichtungen in Baden-W\u00fcrttemberg. Dort wird vor Schwachstellen in Produkten des Herstellers CITRIX und VMware gewarnt. Ich nehme es mal im Blog auf, da es nat\u00fcrlich auch Kliniken, Rehaeinrichtungen und andere medizinische Einheiten in anderen Bundesl\u00e4ndern betrifft.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/7b0ab823b4ee428da782e6faf4b5d18c\" alt=\"\" width=\"1\" height=\"1\" \/>Ein Blog-Leser hat mir als Reaktion zum Cyberangriff auf das Klinikum Esslingen (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/30\/cyber-angriff-auf-klinikum-esslingen-citrix-bleed-ausgenutzt\/\">\"Cyber-Angriff\" auf Klinikum Esslingen \u2013 Citrix-Bleed ausgenutzt?<\/a>) einen entsprechenden Hinweis zukommen lassen (danke daf\u00fcr) und schrieb, dass die BWKG-Mitteilung 570\/2023 vom 30. November 2023 an alle Gesch\u00e4ftsf\u00fchrer in Krankenh\u00e4user und Rehabilitationseinrichtungen in Baden-W\u00fcrttemberg ging. Das Thema betrifft aber auch Einrichtungen au\u00dferhalb von BW.<\/p>\n<h2>Warnung vor Angriffen<\/h2>\n<p>Nachfolgend der Aufmacher aus dem Schreiben, welches mir vorliegt. Dort wird von der\u00a0 Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-W\u00fcrttemberg explizit vor einer Schwachstelle in CITRIX gewarnt und es hei\u00dft, dass ein Baden-W\u00fcrttembergisches Klinikum Opfer eines Cyberangriffs wurde, der unter Ausnutzung dieser Sicherheitsl\u00fccken erfolgt ist. Also die Best\u00e4tigung meiner Vermutung im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/30\/cyber-angriff-auf-klinikum-esslingen-citrix-bleed-ausgenutzt\/\">\"Cyber-Angriff\" auf Klinikum Esslingen \u2013 Citrix-Bleed ausgenutzt?<\/a>.<\/p>\n<p><img decoding=\"async\" title=\"BWKG-Mitteilung 570\/2023 vom 30. November 2023 an alle Gesch\u00e4ftsf\u00fchrer in Krankenh\u00e4user und Rehabilitationseinrichtungen in Baden-W\u00fcrttemberg \" src=\"https:\/\/i.postimg.cc\/kXndwjJ5\/image.png\" alt=\"BWKG-Mitteilung 570\/2023 vom 30. November 2023 an alle Gesch\u00e4ftsf\u00fchrer in Krankenh\u00e4user und Rehabilitationseinrichtungen in Baden-W\u00fcrttemberg \" \/><\/p>\n<p>570\/2023<\/p>\n<p>Im Schreiben wird Polizei BW hei\u00dft es, dass die Angreifer nach gegenw\u00e4rtigen Erkenntnissen eine konkrete Sicherheitsl\u00fccke ausnutzten und in der weiteren Folge unberechtigt Zugriff auf bestimmte Netzwerksegmente des Klinikums erlangten. Die\u00a0 Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-W\u00fcrttemberg geht davon, dass es sich um eine Sicherheitsl\u00fccke eines Systems des Herstellers CITRIX handelt. Konkret wird die Schwachstelle\u00a0 CVE2023-4966 (Citrix Bleed) im Citrix NetScaler ADC und NetScaler Gateway als Einfallstor verd\u00e4chtigt. Die Polizei BW weist auf die entsprechenden Warnung des BSI und des US-CERT hin.<\/p>\n<h2>Warnung vor Citrix Bleed seit Oktober 2023<\/h2>\n<p>Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung <a href=\"https:\/\/support.citrix.com\/article\/CTX579459\/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967\" target=\"_blank\" rel=\"noopener\">CTX579459<\/a> (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitsl\u00fccken entdeckt. NetScaler ADC und NetScaler Gateway enthalten die folgenden, nicht authentifizierten Puffer-Schwachstellen:<\/p>\n<ul>\n<li>CVE-2023-4966: Sensitive information disclosure-Schwachstelle; CVSS Index 9.4;<\/li>\n<li>CVE-2023-4967: Denial of service-Schwachstelle; CVSS Index 8.2;<\/li>\n<\/ul>\n<p>Citrix hat f\u00fcr betroffene und noch unterst\u00fctzte Ger\u00e4te Firmware-Updates bereitgestellt, die diese Schwachstellen patchen. Betroffen von diesen Schwachstellen sind die folgenden Citrix-Produkte und Firmware-Versionen:<\/p>\n<ul>\n<li>NetScaler ADC and NetScaler Gateway\u202f14.1\u202fbefore\u202f14.1-8.50<\/li>\n<li>NetScaler ADC and NetScaler Gateway\u202f13.1\u202fbefore\u202f13.1-49.15<\/li>\n<li>NetScaler ADC and NetScaler Gateway\u202f13.0\u202fbefore 13.0-92.19<\/li>\n<li>NetScaler ADC 13.1-FIPS before 13.1-37.164<\/li>\n<li>NetScaler ADC 12.1-FIPS before 12.1-55.300<\/li>\n<li>NetScaler ADC 12.1-NDcPP before 12.1-55.300 (beide Produkte sind End-of-Life und bekommen keine Updates mehr)<\/li>\n<\/ul>\n<p>Ich hatte Ende Oktober 2023 im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/26\/citrix-bleed-schwachstelle-cve-2023-4966-verrt-sitzungs-tokens-in-netscaler-adc-und-gateway-poc-verfgbar\/\">Citrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a> \u00fcber diese Schwachstelle berichtet. Sicherheitsforscher von Assenote hatten unter dem Titel \"Citrix Bleed\" eine Analyse der Schwachstelle CVE-2023-4966 auf Basis einer Reverse-Analyse des Patches von Citrix im Artikel <a href=\"https:\/\/www.assetnote.io\/resources\/research\/citrix-bleed-leaking-session-tokens-with-cve-2023-4966\" target=\"_blank\" rel=\"noopener\">Citrix Bleed: Leaking Session Tokens with CVE-2023-4966<\/a> vorgelegt. Inzwischen ist bekannt, dass die Lockbit-Ransomware-Gruppe diese Schwachstelle ausnutzt (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/15\/citrix-bleed-lockbit-gruppe-nutzt-schwachstelle-cve-2023-4966-aus\/\">Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a>).<\/p>\n<blockquote><p>Ich vermute bereits beim Cyberangriff auf Convotis (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/11\/28\/convotis-geiger-bdt-besttigt-cyberangriff-infrastruktur-ber-citrix-netscaler-adc-kompromittiert\/\">Convotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a>) diese Schwachstelle als Angriffspunkt. Nun reiht sich das Klinikum Esslingen mit in die Liste der Opfer ein.<\/p><\/blockquote>\n<h2>Indicators of Compromise (IOC) pr\u00fcfen<\/h2>\n<p>Im BWKG-Schreiben hei\u00dft es weiter, dass das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) und die amerikanische Beh\u00f6rde Cybersecurity &amp; Infrastructure Agency (CISA) entsprechende Sicherheitswarnungen ver\u00f6ffentlicht haben. Au\u00dferdem wurden Indikatoren (indicators of compromise \u2013 IOCs) zusammengetragen, anhand derer ein m\u00f6glicher Angriff aufgesp\u00fcrt werden kann. Hier ist der Download-Link von der BWKG-Seite:<\/p>\n<p><a href=\"https:\/\/www.bwkg.de\/daten-fakten\/downloads\/verschiedenes\/file\/news\/indikatoren-zu-aktueller-warnmeldung-der-polizei-zu-bereits-ausgenutzten-sicherheitsluecken-von-produ\/\" target=\"_blank\" rel=\"noopener\">Indikatoren zu aktueller Warnmeldung der Polizei zu bereits ausgenutzten Sicherheitsl\u00fccken von Produkten des Herstellers CITRIX<\/a><\/p>\n<p>In der BWKG-Mitteilung wird Einrichtungen und IT-Verantwortlichen dringend empfohlen, anhand dieser IOCs ihre Systeme auf m\u00f6gliche Angriffe zu pr\u00fcfen und entsprechende Ma\u00dfnahmen einzuleiten. So ist es m\u00f6glich, dass selbst nach einspielen von Updates, die von Angreifern genutzten Sitzungen weiterhin g\u00fcltig sind. Daher ist es notwendig, nach der Installation von Updates alle aktiven und persistenten Sitzungen auf den Citrix-Instanzen zu terminieren.<\/p>\n<h2>Hinweis auf VMware-Schwachstellen<\/h2>\n<p>Zus\u00e4tzlich wird in der BWKG-Mitteilung eine Warnung der Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Baden-W\u00fcrttemberg vor Schwachstellen in VMware-Produkten wiedergegeben. Es hei\u00dft in der ZAC-Warnung, dass Produkte des Herstellers VMWare regelm\u00e4\u00dfig von Sicherheitsl\u00fccken betroffen sein k\u00f6nnen und entsprechend fortlaufend durch die IT-Administratoren \u00fcberpr\u00fcft werden sollten. Es wurden folgende Dokumente verlinkt:<\/p>\n<p><a href=\"https:\/\/www.vmware.com\/security\/advisories.html\" target=\"_blank\" rel=\"noopener\">VMware Security Advisories<\/a><br \/>\n<a href=\"https:\/\/wid.cert-bund.de\/portal\/wid\/kurzinformationen\" target=\"_blank\" rel=\"noopener\">CERT Bund Kurzinformationen<\/a><\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Laut <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/us-health-dept-urges-hospitals-to-patch-critical-citrix-bleed-bug\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> der Kollegen von Bleeping Computer fordert das US-Gesundheitsministerium Krankenh\u00e4user auf, kritischen Citrix Bleed-Bug zu patchen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>F\u00fcr das Klinikum Esslingen kommt die Warnung wohl zu sp\u00e4t, die wurden wohl am 28. November 2023 Opfer eines Cyberangriffs \u00fcber die ungepatchte Citrix Bleed-Schwachstelle. Nun ging am 30. November 2023 eine entsprechende Warnung in Form einer BWKG-Mitteilung 570\/2023 an &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/12\/01\/lka-bw-warnung-an-krankenhuser-und-rehabilitationseinrichtungen-vor-citrix-schwachstellen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-288809","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288809","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=288809"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/288809\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=288809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=288809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=288809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}