Shitrix: Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

Ein IMHO von veröffentlicht am
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind.
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind. (Bild: Screenshot Exploit / Hanno Böck)

Eine große Sicherheitslücke in Citrix-Netzwerkgeräten wird seit einigen Tagen in großem Maßstab ausgenutzt. Golem.de hat heute getestet, welche Systeme in Deutschland aktuell noch für die Lücke (CVE-2019-19781) verwundbar sind. Darunter finden sich nicht wenige Systeme in deutschen Behörden. Der Sächsische Landtag, die Leitstellen der Rettungsdienste in Bayern, das Bundesland Hessen, das zum Verkehrs- und Digitalisierungsministerium gehörende Bundeseisenbahnvermögen. Dazu kommen unzählige Firmen, Universitäten, Krankenhäuser und Gemeinden.

Stellenmarkt
  1. Digital Consultant (m/w/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  2. Agiler IT Projektmanager ERP (w/m/d)
    dmTECH GmbH, deutschlandweit (Home-Office möglich)
Detailsuche

Ebenso betreibt die CSU im Bayerischen Landtag einen inzwischen vermutlich kompromittierten Citrix-Server. Auch die EU hat zahlreiche verwundbare Systeme am Netz, betroffen sind das europäische Amt für geistiges Eigentum, die Arzneimittelagentur EMA und die europäische Polizeiakademie.

Es fehlt an den absoluten Grundlagen

Der Vorfall zeigt vor allem eins: Es fehlt in Sachen IT-Sicherheit an den absoluten Grundlagen. Es geht hier nicht um ausgefallene Angriffe oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen. Es geht schlicht darum: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

Bekannt ist die Lücke, die inzwischen auch Shitrix genannt wird, seit dem 17. Dezember. Seitdem gibt es vom Hersteller auch eine Anleitung, wie man Angriffe blockieren kann. Golem.de hat vorige Woche darüber berichtet, nachdem erste technische Details bekannt geworden waren. Seit vergangenen Freitag findet man Exploits frei verfügbar auf Github, auch große Medien haben das Thema inzwischen aufgegriffen.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
Weitere IT-Trainings

Das Besondere an der Lücke: Sie lässt sich extrem einfach ausnutzen, ein Angriff lässt sich in einem zweizeiligen Shellskript durchführen. Ersten Berichten zufolge finden zurzeit großflächig Angriffe statt, die auf den betroffenen Systemen Cryptominer installieren.

Die oben genannten Behörden und Institutionen haben wir alle heute über die verwundbaren Systeme informiert. Antworten haben wir bisher nur wenige erhalten. Das bayerische Landesamt für Sicherheit in der Informationstechnik informierte uns telefonisch, dass die Systeme der dortigen Rettungsleitstelle nun geschützt seien. Von zehn betroffenen Servern waren aber sieben weiterhin erreichbar und verwundbar.

Jetzt hilft nur noch abschalten und neu aufsetzen

Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten.

Denn auch wenn das keine Entschuldigung für das schlampige Verhalten der Behörden ist: Bis heute stellt Citrix kein Update für die Sicherheitslücke bereit. Auch das ist durch nichts zu entschuldigen.

Nachtrag vom 14. Januar 2020, 14:41 Uhr

Wir haben inzwischen weitere Rückmeldungen erhalten. Der sächsische Landtag, die CSU-Landtagsfraktion und die bayrische Rettungsleitstelle haben ihre Systeme nun abgesichert.

Nachtrag vom 16. Januar 2020, 13:29 Uhr

Ursprünglich hatten wir geschrieben, dass das Europäische Patentamt von der Sicherheitslücke betroffen war. Das war nicht korrekt, es handelte sich um das Europäische Amt für geistiges Eigentum (EUIPO). Wir bitten diesen Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


VigarLunaris 19. Jan 2020

Sicher man möchte seine Systeme sicher wissen, jedoch hat der Hersteller den Angriff...

7bit 19. Jan 2020

Aber nur der VPN-Port, nicht das Admin-webinterface!

7bit 19. Jan 2020

Von nem VPN würde ich erwarten daß man an genau einem einzigen Port nach ner sicheren...

Eisherz 19. Jan 2020

Ja, die Vergabeordnung ist kompliziert, so kompliziert (in dem Fall hier für Software...

Mavy 17. Jan 2020

ja, ich fürchte du hast da völlig recht .. ständige updates und vor allem ständiges "wir...



Aktuell auf der Startseite von Golem.de
Open-Source-Sprachassistent Mycroft
Basteln mit Thorsten statt Alexa

Das US-Unternehmen Mycroft AI arbeitet an einem Open-Source-Sprachassistenten. Die Alexa-Alternative ist etwas für lange Winterabende.
Ein Praxistest von Thorsten Müller

Open-Source-Sprachassistent Mycroft: Basteln mit Thorsten statt Alexa
Artikel
  1. Hosting: Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten
    Hosting
    Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten

    Die Server aus seiner Auktion kann der Hoster Hetzner offenbar nicht kostendeckend betreiben. Das könnte die ganze Branche betreffen.

  2. Pwnkit: Triviale Linux-Lücke ermöglicht Root-Rechte
    Pwnkit
    Triviale Linux-Lücke ermöglicht Root-Rechte

    Zum Ausnutzen der Sicherheitslücke in Polkit muss der Dienst nur installiert sein. Das betrifft auch Serversysteme. Exploits dürften schnell genutzt werden.

  3. Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
    Musterfeststellungsklage
    Parship kann eine Kündigungswelle erwarten

    Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /