Bereits Mitte Dezember informierte Citrix über eine Schwachstelle in seiner Software. Letzte Woche warnte ein Security-Experte eindringlich vor der Lücke, deren Gefährlichkeit von der US-Zertifizierungsstelle NIST mit 9,8 von 10 Punkten bewertet wurde. Damals sagte er aber, dass ihm noch kein tatsächlicher Exploit "auf freier Wildbahn" bekannt sei. Allerdings war klar, dass bereits ein Exploit-Code existierte.

Ursprünglich waren weltweit 80'000 Firmen in Gefahr, wie die Security-Experten von Positive Technologies im Dezember festhielten. In der Schweiz sollen es rund 1100 Hosts von Firmen und Organisationen gewesen sein. Citrix schreibt in einem Blogbeitrag, dass von verschiedenen Institutionen beobachtet worden war, dass "massiv" nach verwundbaren Rechnern gescannt würde.

Nun gibt es verschiedene Meldungen von Exploits – auch aus der Schweiz. Melani habe Kenntnis von 14 infizierten Unternehmen in der Schweiz, teilt die Melde- und Analysestelle heute mit, nachdem bereits am Mittwoch auf der Website vor der Schwachstelle gewarnt worden war. Man gehe davon aus, dass die Zahl der infizierten Systeme noch steigen werde, erklärt Pascal Lamia, Leiter von Melani, auf Anfrage von inside-it.ch. Meldungen zu Schäden lägen derzeit nicht vor.

Die Schweizer Meldestelle schlägt radikale Massnahmen vor: "Melanie empfiehlt, wenn immer möglich die Citrix-Server herunterzufahren." Da der Workaround nicht bei allen Versionen funktioniere, solle man diesen gemäss Informationen von Citrix überprüfen. Schliesslich sollen die Unternehmen sich darauf vorbereiten, einen Patch einzuspielen, sobald dieser zur Verfügung steht. Er wird von Citrix je nach Versionszweig zwischen dem 20. und dem 31. Januar in Aussicht gestellt.

Citrix hatte seine Kunden bereits im Dezember informiert, nun schreibt Melani als Reaktion auf Kritik auf Twitter, dass man betroffenene Betreiber kritischer Infrastrukturen, wie auch KMUs, Gemeinden, Spitäler bereits am Montag einzeln informiert habe. "Bei weit über hundert Meldungen mit entsprechenden Nachfragen und Hilfeleistungen ist an Schlaf nicht zu denken", schreibt Melani auf den Vorwurf, die Entwicklung zu verschlafen. 

Auf Anfrage erklärt Lamia zudem, dass mit Betreibern von kritischer Infrastruktur bereits im Dezember 2019 erste Kontakte aufgenommen und das Problem verifiziert wurde.

Mittlerweile kursieren Anleitungen zur Ausnützung der Lücke im Netz. Ein Exploit der Schwachstelle erlaubt Verzeichnisse auszulesen, Daten zu manipulieren und Code auszuführen.

Die Schwachstelle findet sich laut Citrix in den Produkten Application Delivery Controller (früher NetScaler ADC genannt) und Citrix Gateway von den Versionen 10.5 bis 13.0. Am 16. Januar schob der Hersteller nach, dass sich die Schwachstelle auch in Citrix SD-WAN WANOP Appliance finde.