Mindestens 14 Schweizer Firmen wurden bereits Opfer einer Citrix-Lücke

17. Januar 2020, 14:34
image

Melani empfiehlt, "wenn immer möglich die Citrix-Server herunterzufahren". Ein Workaround funktioniert nicht immer, ein Patch steht aus.

Bereits Mitte Dezember informierte Citrix über eine Schwachstelle in seiner Software. Letzte Woche warnte ein Security-Experte eindringlich vor der Lücke, deren Gefährlichkeit von der US-Zertifizierungsstelle NIST mit 9,8 von 10 Punkten bewertet wurde. Damals sagte er aber, dass ihm noch kein tatsächlicher Exploit "auf freier Wildbahn" bekannt sei. Allerdings war klar, dass bereits ein Exploit-Code existierte.
Ursprünglich waren weltweit 80'000 Firmen in Gefahr, wie die Security-Experten von Positive Technologies im Dezember festhielten. In der Schweiz sollen es rund 1100 Hosts von Firmen und Organisationen gewesen sein. Citrix schreibt in einem Blogbeitrag, dass von verschiedenen Institutionen beobachtet worden war, dass "massiv" nach verwundbaren Rechnern gescannt würde.
Nun gibt es verschiedene Meldungen von Exploits – auch aus der Schweiz. Melani habe Kenntnis von 14 infizierten Unternehmen in der Schweiz, teilt die Melde- und Analysestelle heute mit, nachdem bereits am Mittwoch auf der Website vor der Schwachstelle gewarnt worden war. Man gehe davon aus, dass die Zahl der infizierten Systeme noch steigen werde, erklärt Pascal Lamia, Leiter von Melani, auf Anfrage von inside-it.ch. Meldungen zu Schäden lägen derzeit nicht vor.

Bei Melani ist "an Schlaf nicht zu denken"

Die Schweizer Meldestelle schlägt radikale Massnahmen vor: "Melanie empfiehlt, wenn immer möglich die Citrix-Server herunterzufahren." Da der Workaround nicht bei allen Versionen funktioniere, solle man diesen gemäss Informationen von Citrix überprüfen. Schliesslich sollen die Unternehmen sich darauf vorbereiten, einen Patch einzuspielen, sobald dieser zur Verfügung steht. Er wird von Citrix je nach Versionszweig zwischen dem 20. und dem 31. Januar in Aussicht gestellt.
Citrix hatte seine Kunden bereits im Dezember informiert, nun schreibt Melani als Reaktion auf Kritik auf Twitter, dass man betroffenene Betreiber kritischer Infrastrukturen, wie auch KMUs, Gemeinden, Spitäler bereits am Montag einzeln informiert habe. "Bei weit über hundert Meldungen mit entsprechenden Nachfragen und Hilfeleistungen ist an Schlaf nicht zu denken", schreibt Melani auf den Vorwurf, die Entwicklung zu verschlafen. 
Auf Anfrage erklärt Lamia zudem, dass mit Betreibern von kritischer Infrastruktur bereits im Dezember 2019 erste Kontakte aufgenommen und das Problem verifiziert wurde.

 

Die Lücke findet sich auch in Citrix SD-WAN WANOP Appliance

Mittlerweile kursieren Anleitungen zur Ausnützung der Lücke im Netz. Ein Exploit der Schwachstelle erlaubt Verzeichnisse auszulesen, Daten zu manipulieren und Code auszuführen.
Die Schwachstelle findet sich laut Citrix in den Produkten Application Delivery Controller (früher NetScaler ADC genannt) und Citrix Gateway von den Versionen 10.5 bis 13.0. Am 16. Januar schob der Hersteller nach, dass sich die Schwachstelle auch in Citrix SD-WAN WANOP Appliance finde.

Loading

Mehr zum Thema

image

Podcast: Sollten noch Produkte von Huawei und Kaspersky eingesetzt werden?

Wir debattieren, was es für die Schweiz bedeutet, wenn Produkte von Firmen aus autoritären Ländern eingesetzt werden. Zudem gehen wir den Transparenzinitiativen von zum Beispiel Kaspersky und Huawei auf den Grund und fragen uns: Sind die Amerikaner eigentlich besser?

publiziert am 30.9.2022
image

Urs Truttmann wird Digitalchef der Stadt Luzern

Nachdem Truttman seit April schon interimistisch als CDO im Einsatz stand, übernimmt er die Leitung der Dienstabteilung Digital jetzt definitiv.

publiziert am 29.9.2022
image

USA gegen Russland: Wahl um ITU-Präsidium ist entschieden

Die International Telecommunications Union (ITU) der UNO wird neu von einer Amerikanerin geleitet. Doreen Bogdan-Martin setzte sich gegen einen Russen durch.

publiziert am 29.9.2022
image

Ransomware-Banden kaufen Erstzugänge extern ein

Für nur gerade 10 Dollar können sich Cyberkriminelle auf Darkweb-Flohmärkten Zugänge zu Systemen kaufen. Damit können sie dann Schlimmes anrichten.

publiziert am 29.9.2022