• IT-Karriere:
  • Services:

Shitrix: Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

Ein IMHO von veröffentlicht am
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind.
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind. (Bild: Screenshot Exploit / Hanno Böck)

Eine große Sicherheitslücke in Citrix-Netzwerkgeräten wird seit einigen Tagen in großem Maßstab ausgenutzt. Golem.de hat heute getestet, welche Systeme in Deutschland aktuell noch für die Lücke verwundbar sind. Darunter finden sich nicht wenige Systeme in deutschen Behörden. Der Sächsische Landtag, die Leitstellen der Rettungsdienste in Bayern, das Bundesland Hessen, das zum Verkehrs- und Digitalisierungsministerium gehörende Bundeseisenbahnvermögen. Dazu kommen unzählige Firmen, Universitäten, Krankenhäuser und Gemeinden.

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. KION Group AG, Frankfurt am Main

Ebenso betreibt die CSU im Bayerischen Landtag einen inzwischen vermutlich kompromittierten Citrix-Server. Auch die EU hat zahlreiche verwundbare Systeme am Netz, betroffen sind das europäische Amt für geistiges Eigentum, die Arzneimittelagentur EMA und die europäische Polizeiakademie.

Es fehlt an den absoluten Grundlagen

Der Vorfall zeigt vor allem eins: Es fehlt in Sachen IT-Sicherheit an den absoluten Grundlagen. Es geht hier nicht um ausgefallene Angriffe oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen. Es geht schlicht darum: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

Bekannt ist die Lücke, die inzwischen auch Shitrix genannt wird, seit dem 17. Dezember. Seitdem gibt es vom Hersteller auch eine Anleitung, wie man Angriffe blockieren kann. Golem.de hat vorige Woche darüber berichtet, nachdem erste technische Details bekannt geworden waren. Seit vergangenen Freitag findet man Exploits frei verfügbar auf Github, auch große Medien haben das Thema inzwischen aufgegriffen.

Das Besondere an der Lücke: Sie lässt sich extrem einfach ausnutzen, ein Angriff lässt sich in einem zweizeiligen Shellskript durchführen. Ersten Berichten zufolge finden zurzeit großflächig Angriffe statt, die auf den betroffenen Systemen Cryptominer installieren.

Die oben genannten Behörden und Institutionen haben wir alle heute über die verwundbaren Systeme informiert. Antworten haben wir bisher nur wenige erhalten. Das bayerische Landesamt für Sicherheit in der Informationstechnik informierte uns telefonisch, dass die Systeme der dortigen Rettungsleitstelle nun geschützt seien. Von zehn betroffenen Servern waren aber sieben weiterhin erreichbar und verwundbar.

Jetzt hilft nur noch abschalten und neu aufsetzen

Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten.

Denn auch wenn das keine Entschuldigung für das schlampige Verhalten der Behörden ist: Bis heute stellt Citrix kein Update für die Sicherheitslücke bereit. Auch das ist durch nichts zu entschuldigen.

Nachtrag vom 14. Januar 2020, 14:41 Uhr

Wir haben inzwischen weitere Rückmeldungen erhalten. Der sächsische Landtag, die CSU-Landtagsfraktion und die bayrische Rettungsleitstelle haben ihre Systeme nun abgesichert. Nachtrag vom 16. Januar 2020, 13:29 Uhr

Ursprünglich hatten wir geschrieben, dass das Europäische Patentamt von der Sicherheitslücke betroffen war. Das war nicht korrekt, es handelte sich um das Europäische Amt für geistiges Eigentum (EUIPO). Wir bitten diesen Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  2. 159€ (neuer Tiefpreis)
  3. 119,90€ (Vergleichspreis 148,95€)
  4. 69,99€ (Vergleichspreis 105,98€)

VigarLunaris 19. Jan 2020 / Themenstart

Sicher man möchte seine Systeme sicher wissen, jedoch hat der Hersteller den Angriff...

7bit 19. Jan 2020 / Themenstart

Aber nur der VPN-Port, nicht das Admin-webinterface!

7bit 19. Jan 2020 / Themenstart

Von nem VPN würde ich erwarten daß man an genau einem einzigen Port nach ner sicheren...

Eisherz 19. Jan 2020 / Themenstart

Ja, die Vergabeordnung ist kompliziert, so kompliziert (in dem Fall hier für Software...

Mavy 17. Jan 2020 / Themenstart

ja, ich fürchte du hast da völlig recht .. ständige updates und vor allem ständiges "wir...

Kommentieren


Folgen Sie uns
       


Minikonsolen im Vergleich - Golem retro

Retro-Faktor, Steuerung, Emulationsqualität: Wir haben sieben Minikonsolen miteinander verglichen.

Minikonsolen im Vergleich - Golem retro Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

    •  /