• IT-Karriere:
  • Services:

Shitrix: Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

Ein IMHO von veröffentlicht am
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind.
Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind. (Bild: Screenshot Exploit / Hanno Böck)

Eine große Sicherheitslücke in Citrix-Netzwerkgeräten wird seit einigen Tagen in großem Maßstab ausgenutzt. Golem.de hat heute getestet, welche Systeme in Deutschland aktuell noch für die Lücke verwundbar sind. Darunter finden sich nicht wenige Systeme in deutschen Behörden. Der Sächsische Landtag, die Leitstellen der Rettungsdienste in Bayern, das Bundesland Hessen, das zum Verkehrs- und Digitalisierungsministerium gehörende Bundeseisenbahnvermögen. Dazu kommen unzählige Firmen, Universitäten, Krankenhäuser und Gemeinden.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. Northrop Grumman LITEF GmbH, Freiburg

Ebenso betreibt die CSU im Bayerischen Landtag einen inzwischen vermutlich kompromittierten Citrix-Server. Auch die EU hat zahlreiche verwundbare Systeme am Netz, betroffen sind das europäische Amt für geistiges Eigentum, die Arzneimittelagentur EMA und die europäische Polizeiakademie.

Es fehlt an den absoluten Grundlagen

Der Vorfall zeigt vor allem eins: Es fehlt in Sachen IT-Sicherheit an den absoluten Grundlagen. Es geht hier nicht um ausgefallene Angriffe oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen. Es geht schlicht darum: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.

Bekannt ist die Lücke, die inzwischen auch Shitrix genannt wird, seit dem 17. Dezember. Seitdem gibt es vom Hersteller auch eine Anleitung, wie man Angriffe blockieren kann. Golem.de hat vorige Woche darüber berichtet, nachdem erste technische Details bekannt geworden waren. Seit vergangenen Freitag findet man Exploits frei verfügbar auf Github, auch große Medien haben das Thema inzwischen aufgegriffen.

Das Besondere an der Lücke: Sie lässt sich extrem einfach ausnutzen, ein Angriff lässt sich in einem zweizeiligen Shellskript durchführen. Ersten Berichten zufolge finden zurzeit großflächig Angriffe statt, die auf den betroffenen Systemen Cryptominer installieren.

Die oben genannten Behörden und Institutionen haben wir alle heute über die verwundbaren Systeme informiert. Antworten haben wir bisher nur wenige erhalten. Das bayerische Landesamt für Sicherheit in der Informationstechnik informierte uns telefonisch, dass die Systeme der dortigen Rettungsleitstelle nun geschützt seien. Von zehn betroffenen Servern waren aber sieben weiterhin erreichbar und verwundbar.

Jetzt hilft nur noch abschalten und neu aufsetzen

Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten.

Denn auch wenn das keine Entschuldigung für das schlampige Verhalten der Behörden ist: Bis heute stellt Citrix kein Update für die Sicherheitslücke bereit. Auch das ist durch nichts zu entschuldigen.

Nachtrag vom 14. Januar 2020, 14:41 Uhr

Wir haben inzwischen weitere Rückmeldungen erhalten. Der sächsische Landtag, die CSU-Landtagsfraktion und die bayrische Rettungsleitstelle haben ihre Systeme nun abgesichert. Nachtrag vom 16. Januar 2020, 13:29 Uhr

Ursprünglich hatten wir geschrieben, dass das Europäische Patentamt von der Sicherheitslücke betroffen war. Das war nicht korrekt, es handelte sich um das Europäische Amt für geistiges Eigentum (EUIPO). Wir bitten diesen Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,49€
  2. (-67%) 19,99€
  3. 4,99€
  4. 4,99€

VigarLunaris 19. Jan 2020 / Themenstart

Sicher man möchte seine Systeme sicher wissen, jedoch hat der Hersteller den Angriff...

7bit 19. Jan 2020 / Themenstart

Aber nur der VPN-Port, nicht das Admin-webinterface!

7bit 19. Jan 2020 / Themenstart

Von nem VPN würde ich erwarten daß man an genau einem einzigen Port nach ner sicheren...

Eisherz 19. Jan 2020 / Themenstart

Ja, die Vergabeordnung ist kompliziert, so kompliziert (in dem Fall hier für Software...

Mavy 17. Jan 2020 / Themenstart

ja, ich fürchte du hast da völlig recht .. ständige updates und vor allem ständiges "wir...

Kommentieren


Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Energie: Dieses Blatt soll es wenden
Energie
Dieses Blatt soll es wenden

Schon lange versuchen Forscher, die Funktionsweise von Blättern nachzuahmen. Nun soll es endlich gelingen - und um Längen effizienter sein als andere Verfahren zur Gewinnung von Wasserstoff.
Ein Bericht von Werner Pluta

  1. Energiewende Grüner Wasserstoff aus der Zinnschmelze
  2. Brennstoffzelle Deutschland bekommt mehr Wasserstofftankstellen
  3. Energiewende Hamburg will große Wasserstoff-Elektrolyseanlage bauen

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

    •  /