image

Duits ziekenhuis raakte via Citrix-lek besmet met ransomware

vrijdag 18 september 2020, 15:07 door Redactie, 8 reacties

Het universiteitsziekenhuis van Düsseldorf is via een bekende kwetsbaarheid in Citrix besmet geraakt met ransomware. Dit zorgde voor een verstoring van systemen waardoor het ziekenhuis onder andere geen ambulances meer kon ontvangen.

Het ministerie van Justitie van de Duitse deelstaat Noordrijn-Westfalen kwam gisteren met een bericht dat een patiënt als gevolg van de ransomware-aanval was overleden. De vrouw had via de ambulance naar het ziekenhuis moeten worden gebracht, maar vanwege de systeemuitval moest er worden uitgeweken naar een verder gelegen ziekenhuis, waardoor haar behandeling te laat kwam. Het universiteitsziekenhuis liet in een reactie hierop weten dat het op het betreffende moment al geen ambulances meer ontving. Er is een onderzoek naar het overlijden van de vrouw ingesteld.

Inmiddels zijn er ook meer details over de gebruikte aanvalsmethode bekend geworden. Het ziekenhuis raakte besmet via een bekende kwetsbaarheid in Citrix (CVE-2019-19781) waar in december vorig jaar voor werd gewaarschuwd. Het ziekenhuis stelt dat het de workaround voor de kwetsbaarheid op advies van de Duitse overheid heeft doorgevoerd. Via de kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway is het mogelijk om de systemen volledig over te nemen en het achterliggende netwerk aan te vallen.

Eind januari kwam Citrix met beveiligingsupdates voor de kwetsbaarheid, die dezelfde dag nog werden geïnstalleerd, aldus het ziekenhuis. Citrix liet voor het uitkomen van de patches weten dat de aangeboden workaround niet altijd werkte. Een bug zorgde ervoor dat de ingestelde mitigatiemaatregel niet bij alle versies werd toegepast. Citrix adviseerde klanten om naar een versie van de software te updaten waar de workaround wel werkte. Ook het ziekenhuis laat weten dat de aangeboden oplossing van Citrix niet werkte.

Tevens meldt het Universitätsklinikums Düsseldorf dat het naar aanleiding van de kwetsbaarheid het systeem door twee bedrijven heeft laten testen. Daarbij werd niets aangetroffen. Naar aanleiding van de aanval op het ziekenhuis is het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, met een reactie gekomen.

Volgens het BSI is het bekend met incidenten waarbij Citrix-systemen voor de installatie van de beveiligingsupdates al waren gecompromitteerd. "Dit houdt in dat de aanvallers nog steeds toegang hadden nadat de kwetsbaarheid was verholpen", aldus de Duitse overheidsinstantie. Die roept organisaties op om hun Citrix-systemen op mogelijke afwijkingen te controleren. Aanvallers kunnen via gecompromitteerde Citrix-servers namelijk ransomware uitrollen, zo waarschuwt het BSI.

De Duitse politie benaderde de aanvallers en liet weten dat die niet de universiteit van Düsseldorf hadden geïnfecteerd, maar het ziekenhuis. In de losgeldboodschap hadden de aanvallers namelijk de Heinrich Heine universiteit genoemd en niet het ziekenhuis. Daarop besloten de aanvallers de decryptiesleutel kosteloos te verstrekken, aldus het ministerie. Het ziekenhuis verwacht volgende week weer spoedeisende hulp te kunnen verlenen.

Reacties (8)
18-09-2020, 15:29 door DLans
Wel bijzonder om te lezen dat de aanvallers de decryptiesleutel kosteloos verstrekt hebben aan het ziekenhuis. Zijn toch nog niet helemaal verloren dan.
18-09-2020, 16:25 door Anoniem
Hé buurman, jij hebt je sleutel in de voordeur laten zitten. Ik zou hem er maar snel uithalen want straks breekt er nog iemand in.

Aah dat komt wel goed buurman. Is vast niet mijn voordeur.

2 maanden later...

Wat is dit nou?! Iemand heeft bij mij ingebroken!! Vieze vuile dief... 'Ik hang je op aan de hoogste boom'. Snap niet dat er mensen zijn die inbreken.
18-09-2020, 20:26 door Anoniem
Bijzonder om te zien dat we over deze Duitse hack veel meer informatie kunnen lezen, dan over de malware-aanval die bij Veiligheidsregio Noord-Oost Gelderland gaande is.
18-09-2020, 23:47 door Anoniem
Natuurlijk wel vreemd dat ze die oude versie draaiden die niet met de workaround gepatched werd. Dan heb je toch daar al liggen slapen. Zeker als je dan dit weet en dan nog niet upgrade.

Ook dat ze nu dan ineens roepen dat er iemand mogelijk overleden is. Klinkt als Amerikaanse praktijken. "Hacken" van een systeem zonder wachtwoord en dan ineens voor 1 miljoen dollar schade hebben om de FBI erbij te krijgen.
Hier dus om de BSI erbij te krijgen.

Als je nu zegt dat je Windows 95 draait wordt je toch ook niet meer voor vol.aangezien?
18-09-2020, 23:50 door Anoniem
Door Anoniem: Bijzonder om te zien dat we over deze Duitse hack veel meer informatie kunnen lezen, dan over de malware-aanval die bij Veiligheidsregio Noord-Oost Gelderland gaande is.
Is hier dan ook een dode gevallen?
19-09-2020, 04:06 door Anoniem
Waarschijnlijk was de patient ook wel overleden als de IT-voorziening door een andere oorzaak plat lag. Ik hoop dat men naar aanleiding van deze aanval kritisch kijkt naar de business continuity voor (basis) zorg. Nu was het een hacker maar het had net zo goed een andere oorzaak kunnen hebben.
21-09-2020, 08:44 door karma4
Door Anoniem: Natuurlijk wel vreemd dat ze die oude versie draaiden die niet met de workaround gepatched werd. Dan heb je toch daar al liggen slapen. Zeker als je dan dit weet en dan nog niet upgrade....
In het artikel staat goed dat dat niet aan de hand was. Ze hadden alle patches aangebracht, Alleen was men al binnen voordat het patchen gebeurde. Dan staat er ergens iets wat niet opgevallen is waardoor het open bleef.
Het enige is een complete white list / verse installatie.
21-09-2020, 13:22 door Anoniem
Door karma4:
Door Anoniem: Natuurlijk wel vreemd dat ze die oude versie draaiden die niet met de workaround gepatched werd. Dan heb je toch daar al liggen slapen. Zeker als je dan dit weet en dan nog niet upgrade....
In het artikel staat goed dat dat niet aan de hand was. Ze hadden alle patches aangebracht, Alleen was men al binnen voordat het patchen gebeurde. Dan staat er ergens iets wat niet opgevallen is waardoor het open bleef.
Het enige is een complete white list / verse installatie.

het meest opvallende vind ik dat ze ook nog 3 verschillende onderzoeken hebben gedaan en dat alle 3 geen Citrix kwetsbaarheid of infectie hebben gedetecteerd. Hadden ze soms nog systemen die bij hun onbekend waren en dus niet gepatched, hebben de onderzoeksorganisaties een te beperkte scope gekregen waardoor niet alle systemen onderzocht zijn, is er een systeem kapot gegaan en hebben ze een oude Citrix build terug gezet waarin de patch niet was toegepast, was er de opdracht gegeven om alle systemen te patchen vanuit het management, maar is dit nooit volledig doorgevoerd, of blijken de uitgegeven patches van Citrix niet goed te zijn en blijkt de kwetsbaarheid nog steeds te kunnen worden misbruikt. indien dit het geval is dan zijn vele bedrijven nog kwetsbaar dus ik hoop dat dit laatste niet het geval is.
Voor nu is het onduidelijk welke van deze mogelijkheden het is, en welk van de twee partijen gelijk heeft. Het ziekenhuis of de BSI.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.