Für die Lücke im Citrix Systems NetScaler Gateway beziehungsweise Citrix Application Delivery Controller (ADC) (CVE-2019-19781) hat der Konzern nun einen ersten Patch bereitgestellt. Insbesondere Nutzer der ADC-Versionen 11.1 und 12.0 können auf den früher veröffentlichten Workaround laut der Firma nun verzichten und stattdessen patchen.

Allerdings sind noch nicht für alle betroffenen Systeme Updates verfügbar, wie ein Citrix-Blogpost festhält. Auf den 24. Januar sollen weitere folgen. 

Details und Links hat Citrix online bereitgestellt und verbindet dies mit dem starken Wunsch, man möge das Update sofort nutzen.

Citrix hält zudem fest, es seien mehr Produkte betroffen als initial angenommen. Auch gewisse Deployments von Citrix SD-WAN, speziell Citrix SD-WAN WANOP, seien verwundbar.

Die aktuellste Liste betroffener Produkte: Citrix Systems NetScaler Gateway 10.5, Citrix Systems NetScaler Gateway 11.1, Citrix Systems NetScaler Gateway 12.0, Citrix Systems NetScaler Gateway 12.1, Citrix Systems NetScaler Gateway 13.0, Citrix Systems ADC 10.5, Citrix Systems ADC 11.1, Citrix Systems ADC 12.0, Citrix Systems ADC 12.1, Citrix Systems ADC 13.0, Citrix Systems SD-WAN WANOP 4000, Citrix Systems SD-WAN WANOP 4100, Citrix Systems SD-WAN WANOP 5000, Citrix Systems SD-WAN WANOP 5100.

Citrix hat zudem ein "Verification Tool" bereitgestellt, mit welchem man prüfen könne, ob man verwundbare Produkte im Einsatz hat. "Die Kunden werden auch dazu ermutigt, das Tool nach Anwendung von Mitigationen auszuführen, um deren Korrektheit zu gewährleisten."

Die Lücke wird vom NIST in den USA mit einem Base Score von 9.8 als "kritisch" bewertet, vom deutschen BSI mit einem Risiko-Score von 4. Das bedeutet "hoch" (wenn auch nicht "sehr hoch").

Seit der Entdeckung der Lücke im Dezember und der Publikation eines Workarounds als erste Massnahme sind verschiedene Meldungen von Exploits aufgetaucht – auch aus der Schweiz. Melani habe Kenntnis von 14 infizierten Unternehmen in der Schweiz, teilt die Melde- und Analysestelle mit. 'SRF' berichtete, dass SIX unter diesen sei.

In Deutschland hat die Citrix-Lücke laut 'FAZ', die Hessische Zentrale für Datenverarbeitung veranlasst, E-Mail-Weiterleitungen vorläufig zu blockieren. Auch in der Schweiz haben diverse Firmen Massnahmen ergreifen müssen. Von Behörden ist nichts bekannt.