Was für eine Überraschung

Meldung vom 01.09.2023

Am Mittwoch und Donnerstag beschäftigte ein Hacker-Angriff bereits die Stadtverwaltung Alzey. Nun hat die VG Wörrstadt bekanntgegeben: Auch sie ist betroffen. „Im Laufe der Woche sind Auffälligkeiten auf dem Citrix-Netscaler-System der VG Wörrstadt, die möglicherweise in Zusammenhang mit einer Cyber-Attacke stehen, bekannt geworden“, teilt Sprecherin Ina Köhler am Freitag mit
(Quelle: https://www.allgemeine-zeitung.de/lokales/…)

Wie ich das so lese, erinnere ich mich an einige weitere Meldungen der Vergangenheit:

18.07.2023 – MS-ISAC CYBERSECURITY
Multiple Vulnerabilities in Citrix Products Could Allow for Remote Code Execution

20.07.2023 – heise security news
Citrix-Zero-Days: Angriffsspuren auf Netscaler ADC und Gateway aufspüren
Vor der Verfügbarkeit von Updates wurden CItrix-Lücken bereits in freier Wildbahn angegriffen. Daher ist eine Überprüfung auf Angriffsspuren sinnvoll.

21.07.2023 – heise online newsticker
Citrix-Zero-Days: Angriffsspuren auf Netscaler ADC und Gateway aufspüren
Vor der Verfügbarkeit von Updates wurden CItrix-Lücken bereits in freier Wildbahn angegriffen. Daher ist eine Überprüfung auf Angriffsspuren sinnvoll.

26.07.2023 – heise online newsticker
Jetzt patchen! Weltweit über 15.000 Citrix-Server angreifbar
Sicherheitsforscher haben tausende verwundbare Citrix-Instanzen von Gateway und Netscaler ADC entdeckt. Davon sind auch Systeme in Deutschland betroffen.

27.07.2023 – heise security news
Jetzt patchen! Weltweit über 15.000 Citrix-Server angreifbar
Sicherheitsforscher haben tausende verwundbare Citrix-Instanzen von Gateway und Netscaler ADC entdeckt. Davon sind auch Systeme in Deutschland betroffen.

08.08.2023 – PoC released for critical Citrix ADC 0-day flaw – CVE-2023-3519
• A proof-of-concept (PoC) for CVE-2023-3519, a critical vulnerability in Citrix ADC that allows remote code execution, has been published last weekend.
• CVE-2023-3519 is not simply another item in an ever-growing list of digital security flaws. It’s a stack-based buffer overflow that has been actively exploited, tearing open a path for unauthenticated attackersto execute code remotely on systems configured as gateways.
• The vulnerability impacts unpatched Netscaler appliances configured as gateways (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) or authentication virtual servers (AAA server).

16.08.2023 – Securityonline
Almost 2,000 Citrix NetScaler servers backdoored in hacking campaign
• A threat actor has compromised close to 2,000 thousand Citrix NetScaler servers in a massive campaign exploiting the critical-severity remote code execution tracked as CVE-2023-3519.
• More than 1,200 servers were backdoored before administrators installed the patch for the vulnerability and continue to be compromised because they have not been checked for signs of successful exploitation.

29.08.2023 – Bleeping computer
Attacks on Citrix NetScaler systems linked to ransomware actor
• A threat actor believed to be tied to the FIN8 hacking group exploits the CVE-2023-3519 remote code execution flaw to compromise unpatched Citrix NetScaler systems in domain-wide attacks.
• Sophos has been monitoring this campaign since mid-August, reporting that the threat actor performs payload injections, uses BlueVPS for malware stating, deploys obfuscated PowerShell scripts, and drops PHP webshellson victim machines.
• Resemblances to another attack that Sophos analysts observed earlier in the summer have led the analysts to deduce that the two activities are linked, with the threat actor specializing in ransomware attacks.

Das ist schon irgendwie seltsam und gleichzeitig frustrierend.

Wie wenig Geld den “Öffentlichen” zu Verfügung steht ist zwischenzeitlich kein Geheimnis mehr.

Vergleicht man die Stellenanzeigen mit denen der Industrie zeigen sich deutliche Abeichungen.

Die angebotenen Gehälter liegen in einem Bereich, der wohl eher nicht die “qualifizierten Experten” anlocken wird.

Dennoch scheinen die wenigen Mitarbeiter in der öfentlichen IT noch nicht zu wissen, wie wichtig es ist sich aktuell zu halten und auch zeitnah auf “Zero-Days” zu reagieren.

Citrix selbst hat am 18. Juli 2023 bereits reagiert und dazu in einem frei verfügbaren Beitrag geschrieben:

What Customers Should Do
Exploits of CVE-2023-3519 on unmitigated appliances have been observed. Cloud Software Group strongly urges affected customers of NetScaler ADC and NetScaler Gateway to
install the relevant updated versions as soon as possible
.
(Quelle: https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467)

Es ist für mich nicht nachvollziehbar

    • Wieso ein so kritisches System nicht überwacht wird?
    • Weshalb werden keine – frei verfügbaren – Quellen überwacht?
    • Weshalb hat man nicht sofort reagiert?

Das kann man nicht nur mit fehlenden Geldmitteln und Fachpersonalmangel entschuldigen.

Der Prozess ist denkbar einfach:

    • Erstelle eine Liste der kritischen Assets (Soft- und Hardware)
    • Dokumentiere die installierten Versionen
    • Überwache gezielt die relevanten Quellen mit Hinweisen auf die identifizierten, kritischen Assets
    • Folge den Lösungsvorschlägen der Hersteller – meist reicht ein Update

Der verantwortliche Geschäftsführer eines Unternehmens muss zwischenzeitlich mit einigen Konsequenzen rechnen, wenn er seine Pflichten im Bereich des Cyberschutzes vernachlässigt.

Es wird Zeit, dass auch die gut verdienenden, hauptamtlichen Bürgermeister von Gemeinden (zwischen 8 bis 11 k€ / Monat) genau so behandelt werden.

Wir können es uns nicht leisten, dass gerade unsere Verwaltungen wegen offensichtlicher “Managementfehler” zu einer großen Schwachstelle werden.

Um Verantwortung übernehmen zu können braucht man nicht mehr Steuergelder.
Man kann schon mit einfachen Prozessen viel erreichen.