Wie Citrix auf peinliche Weise gehackt wurde und was seither geschah

25. Juli 2019, 13:19
  • security
  • citrix
  • cyberangriff
image

Das interne Netzwerk von Citrix wurde gehackt, dies hatte der Virtualisierungs- und Softwareanbieter letzten März bestätigt.

Das interne Netzwerk von Citrix wurde gehackt, dies hatte der Virtualisierungs- und Softwareanbieter letzten März bestätigt. Der nun von Citrix veröffentliche Untersuchungsbericht zeigt, was die Firma herausfinden konnte und publizieren wollte.
Die wichtigste Erkenntnis ist, dass Citrix die Vermutung des FBI bekräftigt: "Mit dem Abschluss der Untersuchung sehen wir bestätigt, dass die Cyberkriminelle durch Passwort-Spraying Zugang zu unserem internen Netzwerk erhalten haben", so die Mitteilung.
Und man gibt damit explizit zu, dass die Hacker schwache Passwörter ausnutzen konnten. Sie tummelten sich zwischen dem 13. Oktober 2018 und dem 8. März 2019 unentdeckt im internen Netzwerk und stahlen diverse Files und Businessdokumente.
Es seien auch Kunden vom Hack betroffen gewesen, gibt Citrix zu. Allerdings gehe es "nur" um Dokumente und nicht um Citrix-Produkte oder Cloud-Services. Die Produkte und Services seien nach wie vor sicher, da die Hacker keine Lücken in diesen entdeckt hätten, betont die Firma.
Gestohlen wurden "hauptsächlich" aktuelle und "historische" Geschäftsdokumente und Dateien von einem Shared-Netzlaufwerk sowie von einem Laufwerk, das mit einem "webbasierten Tool" von Consultants genutzt werde.
Details zu Kunden, der Art von Dokumenten und dem "Tool" gibt Citrix keine preis. Was die Firma aber anmerkt: Die neugierigen Hacker hätten "möglicherweise" auch auf virtuelle Laufwerke und Firmen-E-Mail-Konten "einer sehr begrenzten Anzahl von kompromittierten Benutzern" zugegriffen. Dabei, so heisst es kryptisch, hätten sie "eine begrenzte Anzahl von internen Anwendungen gestartet, ohne diese aber auch zu nutzen".
Diverse Security-Experten merken an, das Passwort-Spray-Attacken vielfach auf Single-Sign-On- und Cloud-basierte Anwendungen abzielen, die föderierte Authentifizierungsprotokolle verwenden. So könnten Kriminelle ihren Datenverkehr maskieren und den Zugriff auf Informationen maximieren. Laut der Security-Zeitung 'Threatpost' sei dies bei Citrix der Fall.
Die Firma erläutert derweil allgemein, was sie unternommen habe, damit Kriminelle bei Citrix künftig mit schlechten Passworten im Stile von "12345" keine sechs TeraByte interne Daten stehlen können: "Wir haben einen globalen Passwort Reset durchgeführt, unser internes Passwortmanagement verbessert und die Passwortprotokolle verbessert. Darüber hinaus haben wir unsere Protokollierung an der Firewall verbessert, unsere Überwachungsfunktionen für die Datenexfiltration erweitert und den internen Zugriff auf nicht benötigte webbasierte Dienste eliminiert sowie nicht benötigte Datentransfer-Wege deaktiviert."
Nicht zuletzt habe man neue Endpoint-Security als zusätzlichen Schutzwall implementiert (ein Salesmann von FireEye kann deswegen feiern). Citrix selbst bezeichnet dies als signifikanten Security-Fortschritt.
Nun wolle man die interne Sicherheitskultur bis in die höchsten Unternehmenssphären verbessern, schreibt Citrix, denn man lebe in einem "dynamischen Bedrohungsumfeld". (mag)

Loading

Mehr zum Thema

image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022