Eine schwere Sicherheitslücke bei der populären Fernzugriffs-Software Citrix betrifft hunderte grosse Unternehmen, KMU und staatliche Institutionen in der Schweiz und zehntausende weltweit. Darunter auch Betreiber kritischer Infrastrukturen, wie beispielsweise Spitäler und Kraftwerke.
Bei Twitter wird unter dem Hashtag #Shitrix gespottet und über die schwer abzuschätzende Bedrohungslage diskutiert. Der Bund hat am Nachmittag informiert (siehe unten).
Weil Angriffstools (Exploits) im Internet verfügbar und relativ leicht ausführbar sind, kam es in den letzten Tagen zu zahlreichen Angriffsversuchen, auch auf grosse Schweizer Unternehmen, wo häufig Citrix-Software eingesetzt wird.
Roberto Brunazzi, Kommunikationschef beim Baloise-Versicherungskonzern, bestätigt auf Anfrage:
Laut dem Baloise-Sprecher haben die IT-Spezialisten die eigenen Server mit einem «Workaround» abgeschottet.
Die betroffenen Citrix-Programme dienen gemäss Agenturbericht «zur Optimierung der Server-Leistung sowie zur externen Einwahl in die IT-Infrastruktur». Die Sicherheitslücke ermögliche es Angreifern, aus dem Internet Codes auf ungeschützte Server zu schmuggeln und auszuführen.
Die US-Zertifizierungsstelle NIST bewerte die Software-Schwachstelle mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 Punkten und habe ihr das Attribut «kritisch» gegeben, schreibt SRF Online. In der Tat erlaube es die Schwachstelle, willkürlichen Code auf angegriffenen Systemen auszuführen. Denkbar seien «Datendiebstähle, unerwünschte Verschlüsselung von Daten oder ein Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren».
According to Shodan, over 125,000 #Citrix systems are possible being exposed now the public exploits are already available online still five days to go for official patch.
— Anis Muslić ⣢ (@0xUID) January 15, 2020
#InfoSec #Shitrix #CitrixADC pic.twitter.com/71qErhP6d8
Die zuständige Fachstelle des Bundes liess am Mittwochnachmittag via Twitter verlauten, dass potenziell betroffene Institutionen am Montag gewarnt worden seien:
Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) dementiert auf Anfrage einen bei Twitter verbreiteten Hinweis, wonach der Armee-Einsatz des WEF in Davos von der Sicherheitslücke betroffen sei, respektive die Software, um die Einsatzkräfte zu koordinieren.
Gemäss dem VBS-Sprecher Andreas B. Bucher basiert die vom Bundesamt für Bevölkerungsschutz (Babs) und dem Nachrichtendienst des Bundes (NDB) für das Weltwirtschaftsforum verwendete ELD-Software (Elektronische Lagedarstellung) nicht auf dem Behörden-Informationssystem LAFIS. «Die von Ihnen erwähnte Sicherheitslücke bei Citrix ist hier also nicht von Bedeutung.»
Seit über vier Wochen ist bekannt, dass bei Servern von tausenden Unternehmen und öffentlichen Einrichtungen in vielen Ländern weltweit eine besonders schwere Sicherheitslücke besteht. Laut Medienberichten und Warnungen von IT-Sicherheitsexperten wurden viele angreifbare Server aber nicht zeitnah durch einen ebenfalls seit Dezember 2019 bekannten Workaround abgesichert. Citrix will am 20. Januar einen Notfall-Patch, bzw. ein Software-Update, bereitstellen.
Am vergangenen Wochenende eskalierte die Situation, nachdem bekannt wurde, dass Hacker Exploits veröffentlicht haben, mit denen sich die Schwachstelle relativ einfach ausnutzen lasse. Gemäss Recherchen des SWR bestand die Lücke bis Montag auf tausenden deutschen Servern. Es drohten Sabotage, Diebstahl und Manipulation sensibler Daten.
Am Dienstag berichtete SRF Online, dass auch in der Schweiz hunderte Server von Unternehmen betroffen seien.
Der erfahrene IT-Sicherheitsexperte Marc Ruef, Scip AG, bestätigt auf Anfrage, dass die Schwachstelle und die Umstände tatsächlich «leicht ungewöhnlich» seien.
Zeitgleich habe aber diese Woche auch Microsoft einige kritische Schwachstellen publiziert – bei denen halt noch kein funktionaler Exploit vorhanden sei. Aber auch das könnte sich jede Minute ändern. «Extrem ungewöhnlich ist das also nicht», hält der Kenner des Exploit-Marktes fest.
Sicher ist: Viele IT-Verantwortliche und Netzwerk-Spezialisten werden wohl noch länger auf Trab gehalten wegen der Citrix-Schwachstelle und ihren möglichen Auswirkungen.
Die sind noch nicht absehbar.
Im SWR-Bericht prognostiziert ein anderer deutscher IT-Sicherheitsexperte, dass die kompromittierten Unternehmen wohl noch monatelang mit den Folgen dieser Schwachstelle zu kämpfen hätten. Womöglich seien Hacker unbemerkt eingedrungen und hätten die Spuren wieder verwischt. «Um das auszuschliessen, müssen die betroffenen Server nun gründlich nach Schadsoftware abgesucht werden.»
Quellen:
(dsc)
...sonst gibts auch andere Lösung...
Zum Glück liegen keine heiklen Daten auf den Appliances. Und man war hoffentlich schlau genug, für den NetScaler ein anderes Passwort zu nehmen als für die internen Server.
Wenigstens ist die Konfiguration in einer Textdatei gespeichert. Man kann diese sichern, prüfen und dann auf einer neuen Kiste wieder einspielen. Ist nicht so viel Aufwand.