• IT-Karriere:
  • Services:

Shitrix: Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

Ein IMHO von veröffentlicht am
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind.
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind. (Bild: Screenshot Exploit / Hanno Böck)

Eine große Sicherheitslücke in Citrix-Netzwerkgeräten wird seit einigen Tagen in großem Maßstab ausgenutzt. Golem.de hat heute getestet, welche Systeme in Deutschland aktuell noch für die Lücke verwundbar sind. Darunter finden sich nicht wenige Systeme in deutschen Behörden. Der Sächsische Landtag, die Leitstellen der Rettungsdienste in Bayern, das Bundesland Hessen, das zum Verkehrs- und Digitalisierungsministerium gehörende Bundeseisenbahnvermögen. Dazu kommen unzählige Firmen, Universitäten, Krankenhäuser und Gemeinden.

Stellenmarkt
  1. Senatsverwaltung für Bildung, Jugend und Familie - Abteilung Zentraler Service, Berlin
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Ebenso betreibt die CSU im Bayerischen Landtag einen inzwischen vermutlich kompromittierten Citrix-Server. Auch die EU hat zahlreiche verwundbare Systeme am Netz, betroffen sind das europäische Amt für geistiges Eigentum, die Arzneimittelagentur EMA und die europäische Polizeiakademie.

Es fehlt an den absoluten Grundlagen

Der Vorfall zeigt vor allem eins: Es fehlt in Sachen IT-Sicherheit an den absoluten Grundlagen. Es geht hier nicht um ausgefallene Angriffe oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen. Es geht schlicht darum: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

Bekannt ist die Lücke, die inzwischen auch Shitrix genannt wird, seit dem 17. Dezember. Seitdem gibt es vom Hersteller auch eine Anleitung, wie man Angriffe blockieren kann. Golem.de hat vorige Woche darüber berichtet, nachdem erste technische Details bekannt geworden waren. Seit vergangenen Freitag findet man Exploits frei verfügbar auf Github, auch große Medien haben das Thema inzwischen aufgegriffen.

Das Besondere an der Lücke: Sie lässt sich extrem einfach ausnutzen, ein Angriff lässt sich in einem zweizeiligen Shellskript durchführen. Ersten Berichten zufolge finden zurzeit großflächig Angriffe statt, die auf den betroffenen Systemen Cryptominer installieren.

Die oben genannten Behörden und Institutionen haben wir alle heute über die verwundbaren Systeme informiert. Antworten haben wir bisher nur wenige erhalten. Das bayerische Landesamt für Sicherheit in der Informationstechnik informierte uns telefonisch, dass die Systeme der dortigen Rettungsleitstelle nun geschützt seien. Von zehn betroffenen Servern waren aber sieben weiterhin erreichbar und verwundbar.

Jetzt hilft nur noch abschalten und neu aufsetzen

Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten.

Denn auch wenn das keine Entschuldigung für das schlampige Verhalten der Behörden ist: Bis heute stellt Citrix kein Update für die Sicherheitslücke bereit. Auch das ist durch nichts zu entschuldigen.

Nachtrag vom 14. Januar 2020, 14:41 Uhr

Wir haben inzwischen weitere Rückmeldungen erhalten. Der sächsische Landtag, die CSU-Landtagsfraktion und die bayrische Rettungsleitstelle haben ihre Systeme nun abgesichert. Nachtrag vom 16. Januar 2020, 13:29 Uhr

Ursprünglich hatten wir geschrieben, dass das Europäische Patentamt von der Sicherheitslücke betroffen war. Das war nicht korrekt, es handelte sich um das Europäische Amt für geistiges Eigentum (EUIPO). Wir bitten diesen Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 299€ (Vergleichspreis 334,99€ inkl. Versand)
  2. (u. a. Logitech G703 Hero Lightspeed für 59€ und Logitech G512 Lightsync + G502 Hero SE + G332...
  3. 169€ (Bestpreis mit Amazon. Vergleichspreis 194,99€)
  4. 169€ (Bestpreis mit Media Markt. Vergleichspreis 194,99€)

VigarLunaris 19. Jan 2020 / Themenstart

Sicher man möchte seine Systeme sicher wissen, jedoch hat der Hersteller den Angriff...

7bit 19. Jan 2020 / Themenstart

Aber nur der VPN-Port, nicht das Admin-webinterface!

7bit 19. Jan 2020 / Themenstart

Von nem VPN würde ich erwarten daß man an genau einem einzigen Port nach ner sicheren...

Eisherz 19. Jan 2020 / Themenstart

Ja, die Vergabeordnung ist kompliziert, so kompliziert (in dem Fall hier für Software...

Mavy 17. Jan 2020 / Themenstart

ja, ich fürchte du hast da völlig recht .. ständige updates und vor allem ständiges "wir...

Kommentieren


Folgen Sie uns
       


Nubia Z20 - Test

Das Nubia Z20 hat sowohl auf der Vorderseite als auch auf der Rückseite einen Bildschirm. Dadurch ergeben sich neue Möglichkeiten der Benutzung, wie sich Golem.de im Test angeschaut hat.

Nubia Z20 - Test Video aufrufen
Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer
  2. Männer und Frauen in der IT Gibt es wirklich Chancengleichheit in Deutschland?
  3. HR-Analytics Weshalb Mitarbeiter kündigen

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

    •  /