Prvé následky zraniteľných Citrix brán: nemecký výrobca automobilových dielov Gedia a nemecké mesto Potsdam (Postupim)

Gedia

Zdroj: Computer Weekly (Gedia), Bleeping Computer (Potsdam)

Gedia

Tak ako v prípade minuloročných problémov so zraniteľnosťami VPN brán od firiem Fortinet a Pulse Secure sa odvíja rovnaký príbeh aj okolo brán firmy Citrix. Na konci minulého roka Citrix ohlásil zraniteľnosti v rôznych verziách. Písali sme o tom nedávno. Firmy a organizácie neaktualizujú včas a neskôr musia čeliť následkom útokov.

Prvý prípad je nemecká firma Gedia, ktorá má storočnú tradíciu a vyrába automobilové diely. Firma zamestnáva 4300 ľudí v 7 krajinách a má pobočky v Španielsku, Poľsku, Maďarsku a USA. Firma oznámila v tlačovej správe z 23.1.2020, že sa stala cieľom masívneho útoku na začiatku týždňa. Kvôli útoku musela vypnúť všetky systémy, aj keď tvrdí, že kritické systémy bežia.

Firma sa vyjadrila, že vypnutie má rozsiahle dôsledky, lebo všetky pobočky sú pripojené do napadnutej centrály. Všetci administratívni zamestnanci boli poslaný domov. Medzitým bolo toto oznámenie včera 24.1.2020 stiahnuté z webu, lebo útočníkom sa nepáčilo (označili ich v ňom za kyber kriminálnikov z východnej Európy).

Skupina za Sodinokibi útokom na Travelex sa na web fóre v ruskom jazyku priznala k útoku na firmu Gedia. Zároveň pohrozila, že má 50GB citlivých údajov z centrály firmy a keď ich nebudú kontaktovať do 7 dní ohľadom výkupného, tak dáta zverejnia (o tejto novej taktike sme hovorili nedávno v našich incident podcastoch).

Podľa informácií z druhého článku o meste Potsdam(Postupim) sa zdá, že Gedia mala nezabezpečené Citrix brány.

Potsdam (Postupim)

Problémy nemeckého mesta Postupim podobne ako firmy Gedia začali na začiatku 4.týždňa. Mesto Postupim je najväčšie a hlavné mesto Brandenburska. Systémy mesta sú vypnuté od stredy 22.1.2020 a mestu nefunguje email. Občania musia volať na telefónne čísla ak potrebujú čokoľvek od mesta. Mestu pomáhajú externé bezpečnostné firmy, ktoré v spolupráci s interným IT oddelením pracujú na odstránení následkov.

Čo sa týka vstupného bodu do siete sú to väčšinou prílohy alebo linky v emailoch alebo zraniteľné zariadenia na internete. Zástupcovia mesta síce neuviedli ako sa útočníci dostali do siete, ale nemecký novinár Hanno Böck našiel zraniteľné Citrix ADC servery používané mestom dostupné na internete.

Len zopakujem, že dlhú dobu neexistovali aktualizácie pre Citrix zraniteľnosť, len dočasná mitigácia. V tejto chvíli už Citrix uverejnil všetky aktualizácie.

Záver

Základný problém je, že firmy a organizácie nemajú prehľad o svojich verejných IP adresách a čo je na nich exponované. Zároveň sa ukázalo, že firmy a organizácie aktualizujú neskoro, keď už sú útočníci v sieti. Je veľmi dôležité skontrolovať po neskorej aktualizácii, či útočníci už nie sú v sieti a rýchlo reagovať. Podľa skenov na Slovensku a Česku niektoré firmy ešte stále bežia na neaktualizovaných bránach (či už Pulse Secure, Fortinet alebo Citrix). Ak máte pocit, že neviete ako na kybernetickú bezpečnosť, tak sa nám ozvite. Poradíme ako efektívne riešiť najvypuklejšie problémy.

Obrázok: Gedia

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

HackerFest 2022 – hra na schovávačku s hackermi!

HackerFest 2022 Hra na schovávačku s hackermi v cloude, efektívne preverovanie bezpečnosti webových aplikácií a najnovšie hackerské techniky v praxi – HackerFest 2022 Tradičnú  konferenciu…