Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Citrix wurde für einen Ransomwareangriff genutzt, durch den es wohl zu einem Todesfall kam.
Eine Sicherheitslücke in Citrix wurde für einen Ransomwareangriff genutzt, durch den es wohl zu einem Todesfall kam. (Bild: Citrix Systems Inc. / Wikimedia Commons/CC-BY-SA 3.0)

Der Ransomwareangriff auf die Uniklinik Düsseldorf erfolgte über eine Sicherheitslücke in Geräten der Firma Citrix. Die "Shitrix" genannte Lücke wurde im Dezember 2019 bekannt, im Januar kam es zu massenhaften Angriffen. Die Angreifer hatten dabei wohl eine Hintertür platziert, durch die sie auch nach dem Update Zugriff auf die kompromittierten Geräte erhielten. In der Uniklinik Düsseldorf kam es durch den Ransomwareangriff zu einem Todesfall.

Dass der Angriff mit der Citrix-Lücke zu tun hat, geht aus einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor: "Dem BSI werden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch haben Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinter liegende Netzwerke."

Bei der Sicherheitslücke handelt es sich um mehrere Schwachstellen in Perl-Skripten, die auf Netscaler-Geräten von Citrix laufen. Durch Verkettung dieser Lücken konnte auf den Geräten relativ trivial Code ausgeführt werden. Citrix hatte vor der Lücke bereits Mitte Dezember 2019 gewarnt, die Firma hatte aber für mehrere Wochen kein Update bereitgestellt. Die Angriffe konnten jedoch durch eine Konfigurationsänderung verhindert werden.

Mitte Januar waren alle ungeschützten Systeme kompromittiert

Im Januar wurden weitere Details zu der Lücke bekannt, als die ersten Exploits auftauchten, kam es innerhalb sehr kurzer Zeit zu massenhaften Angriffen. In einem Kommentar schrieb Golem.de am 14. Januar: "Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten."

Wie aus der BSI-Meldung hervorgeht, haben viele Firmen und Institutionen irgendwann die Gegenmaßnahmen umgesetzt oder den Patch, der erst Ende Januar verfügbar war, installiert. Sie haben aber die betroffenen Systeme, die zu diesem Zeitpunkt bereits unter der Kontrolle von Angreifern standen, nicht neu installiert. Das ist wohl auch in der Uniklinik Düsseldorf passiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 26. Sep 2020

alle die bedingungen sind mit Oder geknüpft, jedoch finde ich mehrere die treffen...

Profi_in_allem 20. Sep 2020

Man muss als erste Grundbedingung , bevor man hier überhaupt anfängt zu diskutieren, erst...

Kaiser Ming 19. Sep 2020

Ja man kann alles in lächerliche ziehen. Gibt keinen Grund warum sich eine Softare...



Aktuell auf der Startseite von Golem.de
Apple M2 Max
Ist der kleinere Kühler im Macbook Pro 14 ein Nachteil?

Die neuen Macbooks sparen laut iFixit an der Kühlung. Wir haben getestet, ob das stimmt und wie sich das auf die Leistung des M2 Max auswirkt.
Eine Analyse von Oliver Nickel

Apple M2 Max: Ist der kleinere Kühler im Macbook Pro 14 ein Nachteil?
Artikel
  1. Celsius: Kryptobank soll Schneeballsystem betrieben haben
    Celsius
    Kryptobank soll Schneeballsystem betrieben haben

    Die insolvente Kryptobank Celsius hat mit den Einlagen neuer Kunden die Auszahlungen an Bestandskunden finanziert.

  2. Streaming: Netflix droht bei unerlaubtem Kontensharing mit Sperrung
    Streaming
    Netflix droht bei unerlaubtem Kontensharing mit Sperrung

    Abonnenten von Netflix müssen sich in Deutschland darauf einstellen, dass das Konto gesperrt wird, falls es unerlaubt mit anderen geteilt wird.

  3. Pyka Pelican Cargo: Weltgrößtes autonomes Elektro-Frachtflugzeug vorgestellt
    Pyka Pelican Cargo
    Weltgrößtes autonomes Elektro-Frachtflugzeug vorgestellt

    Der Pyka Pelican Cargo soll das weltweit größte autonome elektrische Frachtflugzeug sein und 320 km weit fliegen können.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 15% Extra-Rabatt auf Fernseher bei Otto • Roccat Kone Pro -56% • Xbox Series S + Dead Space 299,99€ • PCGH Cyber Week • MindStar: ASRock RX 7900 XT 949€ • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ [Werbung]
    •  /