Schwache Passwörter: Hacker hatten monatelang Zugriff auf Daten von Citrix

Citrix hat die Untersuchung des im März bekannt gewordenen Angriffs abgeschlossen. Ursache waren schwache Passwörter. Die Angreifen konnten fünf Monate lang auf Daten des Herstellers zugreifen – die Citrix-Lösungen sollen aber nicht kompromittiert worden sein.

(Foto: bluebay2014 - AdobeStock)

Etwa 6 TByte an Daten hatten Cyberkriminelle bei Citrix abgegriffen, wie im März bekannt wurde. Damals bekam der Software-Spezialist einen Tipp vom FBI, nun hat er seine interne Untersuchung abgeschlossen. Der zufolge drangen die Angreifer tatsächlich mittels »Password Spraying« ein. Dabei werden einige gebräuchliche Passwörter bei einer großen Zahl von Accounts ausprobiert, was unauffälliger ist, als riesige Passwortlisten an einzelnen Accounts durchzugehen und nach mehreren fehlgeschlagenen Logins wahrscheinlich Sperrmechanismen auszulösen.

Zwischen dem 13. Oktober 2018 und dem 8. März 2019 griffen die Eindringlinge dann Citrix zufolge immer wieder auf Daten zu und stahlen vor allem geschäftliche Dokumente von einem Netzlaufwerk sowie von einem Laufwerk, das zu einem webbasierten Tool aus dem Consulting-Business gehört. Außerdem könne es sein, dass Zugriff auf einige virtuelle Laufwerke sowie Mail-Accounts einer sehr kleinen Nutzerzahl bestanden habe und dass einige interne Anwendungen gestartet worden seien, so das Unternehmen.

Citrix betont, es gebe keine Hinweise, dass die Sicherheit eines Produkts oder Cloud-Services beeinträchtigt wurde. Zudem hätten die Angreifer keine Schwachstellen in Lösungen des Herstellers entdeckt oder ausgenutzt. Wohl aber scheinen sich in den geschäftlichen Dokumenten, an die die Angreifer gelangten, einige wichtige Kundendaten befunden zu haben. Zumindest schreibt Citrix, man habe Kunden, »die möglicherweise zusätzliche Schutzmaßnahmen ergreifen müssen«, benachrichtigt oder werde das in Kürze tun.

Die Eindringlinge sollen mittlerweile aus dem Netzwerk von Citrix entfernt worden sein. Der Hersteller hat mittlerweile seine Passwortsicherheit erhöht, indem er einen globalen Passwort-Reset durchgeführt, die Passwortvorgaben verschärft und das interne Passwort-Management verbessert hat. Zudem hat man den internen Zugang zu nicht wichtigen webbasierten Diensten gekappt und einige Wege für Datentransfers blockiert. Das Firewall-Logging wurde ebenso verbessert wie die Kontrolle auf unerwünschte Datenabflüsse. Und zu guter Letzt wurde auch eine Sicherheitslösung von FireEye neu eingeführt, die als zusätzlicher Security-Layer die Endpoints im Unternehmen schützen soll.