Im Zusammenhang mit dem IT-Sicherheitsvorfall im Universitätsklinikum Düsseldorf (UKD) warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der akuten Ausnutzung einer bereits seit Dezember 2019 bekannten Schwachstelle.
Das BSI weist mit Nachdruck darauf hin, dass die Schwachstelle (CVE-2019-19781) in VPN-Produkten der Firma Citrix für Cyber-Angriffe ausgenutzt wird. So erfährt die Behörde von immer mehr Vorfällen, bei denen Citrix-Systeme bereits vor der Installation der im Januar 2020 bereitgestellten Sicherheitsupdates kompromittiert wurden. Dadurch können Angreifer selbst dann noch auf ein System und die dahinterliegenden Netzwerke zugreifen, wenn die Sicherheitslücke geschlossen wurde. Cyberkriminelle nutzen dieses Schlupfloch aktuell vermehrt aus, um Angriffe auf betroffene Organisationen durchzuführen.
Warnung schon im Januar
„Bereits im Januar haben wir vor der Schwachstelle gewarnt und darauf hingewiesen, welche Folgen eine Ausnutzung haben kann. Angreifer verschaffen sich Zugang zu den internen Netzen und Systemen und können diese auch Monate später noch lahmlegen. Ich kann nur mit Nachdruck appellieren, solche Warnungen nicht zu ignorieren oder aufzuschieben, sondern sofort entsprechende Maßnahmen zu ergreifen“, sagt BSI-Präsident Arne Schönbohm. Der Vorfall zeigr zum wiederholten Male, wie ernst man diese Gefahr nehmen müsse. „Auch deswegen hat die Bundesregierung im Entwurf des Krankenhaus-Zukunftsgesetzes vorgesehen, dass mindestens 15 Prozent der beantragten Fördermittel für Maßnahmen zur Verbesserung der Informationssicherheit eingesetzt werden müssen“, ao Schönbohm weiter.
Sicherheitsupdates einspielen
Die seit Januar 2020 bekannte Schwachstelle in den VPN-Produkten von Citrix stellt je nach lokaler Netzkonfiguration ein mögliches Einfallstor in interne Netze dar. Entsprechende Sicherheitsupdates gibt es ebenfalls seit Januar. Falls noch nicht geschehen, sollten sie dringend eingespielt werden.
Von der Ausnutzung betroffen und damit Ziel eines Angriffs können jedoch auch Systeme sein, die im Januar 2020 gepatcht wurden. Diese Systeme wurden unter Umständen bereits vor der Installation der Citrix-Sicherheitsupdates kompromittiert und können somit Angreifern auch jetzt noch den Zugriff auf interne Netze und weitergehende Aktivitäten erlauben. Dazu zählt beispielsweise die Ausleitung oder Verschlüsselung sensibler Daten oder die Manipulation beziehungsweise Stilllegung von Systemen, Geschäftsprozessen und Betriebsabläufen.
Professionelle Unterstützung erforderlich
Anwender der Produkte Citrix Gateway (ehemals NetScalerGateway) und Citrix Application Delivery Controller sollten ihre Netzinfrastruktur und Systeme auf mögliche Anomalien hin überprüfen. Es empfiehlt sich eine Anpassung derSchutzmaßnahmen . Wer nicht über eine eigene IT-Abteilung oder über die notwendigen Kompetenzen zur Untersuchung der Systeme auf Kompromittierungen verfügt, sollte einen externen IT-Dienstleister hinzuziehen, rät das BSI.
Informationen über Schutzmaßnahmen gegen Cyber-Angriffe im Allgemeinen und Ransomware-Attacken im Speziellen stellt das BSI auf seiner Webseite oder im Rahmen der Allianz für Cyber-Sicherheit bereit.