Duits ziekenhuis raakte via Citrix-lek besmet met ransomware

Bron: Security.nl

Het universiteitsziekenhuis van Düsseldorf is via een bekende kwetsbaarheid in Citrix besmet geraakt met ransomware. Dit zorgde voor een verstoring van systemen waardoor het ziekenhuis onder andere geen ambulances meer kon ontvangen.

Het ministerie van Justitie van de Duitse deelstaat Noordrijn-Westfalen kwam gisteren met een bericht dat een patiënt als gevolg van de ransomware-aanval was overleden. De vrouw had via de ambulance naar het ziekenhuis moeten worden gebracht, maar vanwege de systeemuitval moest er worden uitgeweken naar een verder gelegen ziekenhuis, waardoor haar behandeling te laat kwam. Het universiteitsziekenhuis liet in een reactie hierop weten dat het op het betreffende moment al geen ambulances meer ontving. Er is een onderzoek naar het overlijden van de vrouw ingesteld.

Inmiddels zijn er ook meer details over de gebruikte aanvalsmethode bekend geworden. Het ziekenhuis raakte besmet via een bekende kwetsbaarheid in Citrix (CVE-2019-19781) waar in december vorig jaar voor werd gewaarschuwd. Het ziekenhuis stelt dat het de workaround voor de kwetsbaarheid op advies van de Duitse overheid heeft doorgevoerd. Via de kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway is het mogelijk om de systemen volledig over te nemen en het achterliggende netwerk aan te vallen.

Eind januari kwam Citrix met beveiligingsupdates voor de kwetsbaarheid, die dezelfde dag nog werden geïnstalleerd, aldus het ziekenhuis. Citrix liet voor het uitkomen van de patches weten dat de aangeboden workaround niet altijd werkte. Een bug zorgde ervoor dat de ingestelde mitigatiemaatregel niet bij alle versies werd toegepast. Citrix adviseerde klanten om naar een versie van de software te updaten waar de workaround wel werkte. Ook het ziekenhuis laat weten dat de aangeboden oplossing van Citrix niet werkte.

Tevens meldt het Universitätsklinikums Düsseldorf dat het naar aanleiding van de kwetsbaarheid het systeem door twee bedrijven heeft laten testen. Daarbij werd niets aangetroffen. Naar aanleiding van de aanval op het ziekenhuis is het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, met een reactie gekomen.

Volgens het BSI is het bekend met incidenten waarbij Citrix-systemen voor de installatie van de beveiligingsupdates al waren gecompromitteerd. “Dit houdt in dat de aanvallers nog steeds toegang hadden nadat de kwetsbaarheid was verholpen”, aldus de Duitse overheidsinstantie. Die roept organisaties op om hun Citrix-systemen op mogelijke afwijkingen te controleren. Aanvallers kunnen via gecompromitteerde Citrix-servers namelijk ransomware uitrollen, zo waarschuwt het BSI.

De Duitse politie benaderde de aanvallers en liet weten dat die niet de universiteit van Düsseldorf hadden geïnfecteerd, maar het ziekenhuis. In de losgeldboodschap hadden de aanvallers namelijk de Heinrich Heine universiteit genoemd en niet het ziekenhuis. Daarop besloten de aanvallers de decryptiesleutel kosteloos te verstrekken, aldus het ministerie. Het ziekenhuis verwacht volgende week weer spoedeisende hulp te kunnen verlenen.