De röntgen- en echografiesystemen van een Duits ziekenhuis zijn vorige week getroffen door een cyberaanval, waarbij de aanvallers misbruik van het 'Citrixbleed' maakten. Dat heeft het Klinikum Esslingen via een persbericht bekendgemaakt. De Duitse blogger Günther Born meldt op basis van een politiemelding dat de aanvallers via de 'Citrixbleed' kwetsbaarheid in NetScalers ADC- en Gateway-servers binnenkwamen.

Het Duitse ziekenhuis in de buurt van Stuttgart kreeg afgelopen dinsdag met een cyberaanval te maken. Om wat voor aanval het precies gaat is niet bekendgemaakt. Wel laat het ziekenhuis weten dat de aanvallers via remote toegang binnenkwamen en schade aan servers toebrachten. Het gaat vooral om röntgen- en echografiesystemen. Verder zijn ook interne administratiegegevens bij de aanval 'verwijderd'.

Gegevens van patiënten zijn niet getroffen, aldus de verklaring. Operaties en behandelingen in het ziekenhuis konden dan ook gewoon doorgaan, maar het uitvallen van de röntgen- en echografiesystemen zorgt voor merkbare verstoringen in processen, zo laat het ziekenhuis verder weten. Dat meldt daarnaast dat er al is begonnen met het herstel van getroffen systemen.

De Duitse blogger Günther Born kreeg een politiebericht in handen waaruit blijkt dat de aanvallers gebruikmaakten van Citrixbleed. Het gaat hier om een kwetsbaarheid aanwezig in NetScaler ADC- en Gateway-servers. Via het lek kan een ongeauthenticeerde aanvaller toegang tot geheugen van het systeem krijgen en zo sessietokens van gebruikers stelen. Met deze tokens kan vervolgens toegang tot het systeem worden verkregen, zonder dat hiervoor nog inloggegevens of multifactorauthenticatie is vereist. Een aanvaller kan de gestolen session key opnieuw afspelen en zo toegang krijgen.

Updates voor het beveiligingslek zijn al sinds 10 oktober beschikbaar. De kwetsbaarheid werd al voor deze datum bij zeroday-aanvallen misbruikt. Sinds het verschijnen van de updates wordt het beveiligingslek ook bij ransomware-aanvallen ingezet. Het ziekenhuis heeft de oorzaak van de aanval niet bekendgemaakt, maar de Duitse politie doet dit wel. Die meldt dat recentelijk een ziekenhuis in Baden-Württemberg via het lek is aangevallen en roept andere ziekenhuizen op om de update te installeren en te controleren of systemen niet zijn gecompromitteerd.