Wie Citrix auf peinliche Weise gehackt wurde und was seither geschah

25. Juli 2019, 13:19
  • security
  • citrix
  • cyberangriff
image

Das interne Netzwerk von Citrix wurde gehackt, dies hatte der Virtualisierungs- und Softwareanbieter letzten März bestätigt.

Das interne Netzwerk von Citrix wurde gehackt, dies hatte der Virtualisierungs- und Softwareanbieter letzten März bestätigt. Der nun von Citrix veröffentliche Untersuchungsbericht zeigt, was die Firma herausfinden konnte und publizieren wollte.
Die wichtigste Erkenntnis ist, dass Citrix die Vermutung des FBI bekräftigt: "Mit dem Abschluss der Untersuchung sehen wir bestätigt, dass die Cyberkriminelle durch Passwort-Spraying Zugang zu unserem internen Netzwerk erhalten haben", so die Mitteilung.
Und man gibt damit explizit zu, dass die Hacker schwache Passwörter ausnutzen konnten. Sie tummelten sich zwischen dem 13. Oktober 2018 und dem 8. März 2019 unentdeckt im internen Netzwerk und stahlen diverse Files und Businessdokumente.
Es seien auch Kunden vom Hack betroffen gewesen, gibt Citrix zu. Allerdings gehe es "nur" um Dokumente und nicht um Citrix-Produkte oder Cloud-Services. Die Produkte und Services seien nach wie vor sicher, da die Hacker keine Lücken in diesen entdeckt hätten, betont die Firma.
Gestohlen wurden "hauptsächlich" aktuelle und "historische" Geschäftsdokumente und Dateien von einem Shared-Netzlaufwerk sowie von einem Laufwerk, das mit einem "webbasierten Tool" von Consultants genutzt werde.
Details zu Kunden, der Art von Dokumenten und dem "Tool" gibt Citrix keine preis. Was die Firma aber anmerkt: Die neugierigen Hacker hätten "möglicherweise" auch auf virtuelle Laufwerke und Firmen-E-Mail-Konten "einer sehr begrenzten Anzahl von kompromittierten Benutzern" zugegriffen. Dabei, so heisst es kryptisch, hätten sie "eine begrenzte Anzahl von internen Anwendungen gestartet, ohne diese aber auch zu nutzen".
Diverse Security-Experten merken an, das Passwort-Spray-Attacken vielfach auf Single-Sign-On- und Cloud-basierte Anwendungen abzielen, die föderierte Authentifizierungsprotokolle verwenden. So könnten Kriminelle ihren Datenverkehr maskieren und den Zugriff auf Informationen maximieren. Laut der Security-Zeitung 'Threatpost' sei dies bei Citrix der Fall.
Die Firma erläutert derweil allgemein, was sie unternommen habe, damit Kriminelle bei Citrix künftig mit schlechten Passworten im Stile von "12345" keine sechs TeraByte interne Daten stehlen können: "Wir haben einen globalen Passwort Reset durchgeführt, unser internes Passwortmanagement verbessert und die Passwortprotokolle verbessert. Darüber hinaus haben wir unsere Protokollierung an der Firewall verbessert, unsere Überwachungsfunktionen für die Datenexfiltration erweitert und den internen Zugriff auf nicht benötigte webbasierte Dienste eliminiert sowie nicht benötigte Datentransfer-Wege deaktiviert."
Nicht zuletzt habe man neue Endpoint-Security als zusätzlichen Schutzwall implementiert (ein Salesmann von FireEye kann deswegen feiern). Citrix selbst bezeichnet dies als signifikanten Security-Fortschritt.
Nun wolle man die interne Sicherheitskultur bis in die höchsten Unternehmenssphären verbessern, schreibt Citrix, denn man lebe in einem "dynamischen Bedrohungsumfeld". (mag)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022