Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

Artikel veröffentlicht am ,
Eine Sicherheitslücke in Citrix wurde für einen Ransomwareangriff genutzt, durch den es wohl zu einem Todesfall kam.
Eine Sicherheitslücke in Citrix wurde für einen Ransomwareangriff genutzt, durch den es wohl zu einem Todesfall kam. (Bild: Citrix Systems Inc. / Wikimedia Commons/CC-BY-SA 3.0)

Der Ransomwareangriff auf die Uniklinik Düsseldorf erfolgte über eine Sicherheitslücke in Geräten der Firma Citrix. Die "Shitrix" genannte Lücke wurde im Dezember 2019 bekannt, im Januar kam es zu massenhaften Angriffen. Die Angreifer hatten dabei wohl eine Hintertür platziert, durch die sie auch nach dem Update Zugriff auf die kompromittierten Geräte erhielten. In der Uniklinik Düsseldorf kam es durch den Ransomwareangriff zu einem Todesfall.

Stellenmarkt
  1. B2B/EDI Spezialist (w/m/d)
    EURO-LOG AG, München-Hallbergmoos
  2. Junior Produkt Manager Digital Business (m/w/d)
    MEDIENGRUPPE KLAMBT, Hamburg (Home-Office möglich)
Detailsuche

Dass der Angriff mit der Citrix-Lücke zu tun hat, geht aus einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor: "Dem BSI werden zunehmend Vorfälle bekannt, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch haben Angreifer auch nach Schließung der Sicherheitslücke weiterhin Zugriff auf das System und dahinter liegende Netzwerke."

Bei der Sicherheitslücke handelt es sich um mehrere Schwachstellen in Perl-Skripten, die auf Netscaler-Geräten von Citrix laufen. Durch Verkettung dieser Lücken konnte auf den Geräten relativ trivial Code ausgeführt werden. Citrix hatte vor der Lücke bereits Mitte Dezember 2019 gewarnt, die Firma hatte aber für mehrere Wochen kein Update bereitgestellt. Die Angriffe konnten jedoch durch eine Konfigurationsänderung verhindert werden.

Mitte Januar waren alle ungeschützten Systeme kompromittiert

Im Januar wurden weitere Details zu der Lücke bekannt, als die ersten Exploits auftauchten, kam es innerhalb sehr kurzer Zeit zu massenhaften Angriffen. In einem Kommentar schrieb Golem.de am 14. Januar: "Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten."

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Wie aus der BSI-Meldung hervorgeht, haben viele Firmen und Institutionen irgendwann die Gegenmaßnahmen umgesetzt oder den Patch, der erst Ende Januar verfügbar war, installiert. Sie haben aber die betroffenen Systeme, die zu diesem Zeitpunkt bereits unter der Kontrolle von Angreifern standen, nicht neu installiert. Das ist wohl auch in der Uniklinik Düsseldorf passiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


My1 26. Sep 2020

alle die bedingungen sind mit Oder geknüpft, jedoch finde ich mehrere die treffen...

Profi_in_allem 20. Sep 2020

Man muss als erste Grundbedingung , bevor man hier überhaupt anfängt zu diskutieren, erst...

Kaiser Ming 19. Sep 2020

Ja man kann alles in lächerliche ziehen. Gibt keinen Grund warum sich eine Softare...

ElMario 18. Sep 2020

...Fragen werden dann später gestellt. Das ist das Problem. Wir brauchen anscheinend gar...



Aktuell auf der Startseite von Golem.de
Activision Blizzard
Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
Eine Analyse von Peter Steinlechner

Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
Artikel
  1. Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
    Corona-Warn-App
    Jede geteilte Warnung kostete 100 Euro

    Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

  2. Digitale Kopie: Den Brief zuvor in der Post & DHL App ansehen
    Digitale Kopie
    Den Brief zuvor in der Post & DHL App ansehen

    Die digitale Kopie von Deutsche Post DHL bleibt aber auf den Briefumschlag beschränkt.

  3. Energiespeicher: Große Druckluftspeicher locken Investorengelder an
    Energiespeicher
    Große Druckluftspeicher locken Investorengelder an

    Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
    Von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Samsung 16GB DDR5-4800 199€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /