In der Fernzugriffssoftware Citrix Application Delivery Controller und NetScaler Gateway der Firma CITRIX befindet sich seit Monaten eine kritische Sicherheitslücke. Seit Anfang des Jahres erlaubt diese Lücke Hackern, unbemerkt in Systeme einzudringen. Betroffene sind dabei mehrere tausend Firmen, unter anderem auch Betreiber Kritischer Infrastrukturen wie Krankenhäuser oder Netzwerkbetreiber.
Doch was ist CITRIX überhaupt?
Das Unternehmen CITRIX stellt Fernzugriffssoftware in großem Stil her. Dabei bietet CITRIX Systems Unternehmen Software-Lösungen für den Fernzugriff auf lokale Netze an. So können Firmen ihren Angestellten die Arbeit im Home-Office oder von unterwegs aus ermöglich, indem auch außerhalb der Firmenwände auf das gesamte interne Netzwerk zugegriffen werden kann. Insbesondere durch die Corona-Krise hat der Ausbau solcher Software-Lösungen exponentiell zugenommen, Home-Office erfreut sich immer größerer Beliebtheit.
Das Problem mit der Sicherheit
Seit Monaten steht CITRIX nun vor einem Problem: Eine große Sicherheitslücke klafft in der hauseigenen Fernzugriffssoftware, welche eine der meistgenutzten Software-Lösungen für den Fernzugriff auf lokale Netze ist. Eben in dieser Software tauchte nun eine große Sicherheitslücke auf. Ein No-Go für alle Sicherheitsexperten, gefundenes Fressen für alle Hacker. Das diese Lücke auch ausgenutzt wird, steht außer Frage. Die unter dem Hashtag SHITRIX bekannt gewordene Sicherheitslücke wird bereits aktiv von hunderten von Hackern ausgenutzt. Im Internet sind diverse Anleitungen aufgetaucht, die ein Ausnutzen der Lücke auch für relative Laien möglich macht. Die Gefahr für Unternehmen, digital angegriffen zu werden, steigt damit in Dimensionen, die kaum einzusehen sind.
Doch warum ist diese Sicherheitslücke so „besonders“? Aus mehreren Berichten wurde bekannt, dass die Lücke sehr einfach auszunutzen ist, ein Angriff lässt sich in einem zweizeiligen Shellskript durchführen. Großflächige Angriffe haben bereits stattgefunden, die auf den betroffenen Systemen Cryptominer installieren.
Der Vorfall zeigt: Die Grundlagen fehlen
Vor alle wird durch den Sicherheitsvorfall eins deutlich: Im Bereich der IT-Sicherheit fehlt es deutschlandweit an den absoluten Grundlagen. Dabei sind die Hackerangriffe nicht besonders clever, kaum ausgefalle Angegriffene oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen. Der Kern ist: Wird eine immense Sicherheitslücke in einem Produkt bekannt, wird das Produkt aber weiterhin eingesetzt, muss dieses entsprechende Problem dringend behoben werden. Schafft man das als Unternehmen nicht zeitnah, bestenfalls innerhalb weniger Stunden, muss davon ausgegangen werden, dass dem Thema IT-Sicherheit keinerlei Bedeutung beigemessen wurde.
Monate nach Auftauchen der Lücke werden immer mehr Fälle bekannt. In den letzten Wochen wurde nun festgestellt, dass im kritischen Zustand Anfang 2020 in einigen Fällen Backdoors installiert worden sind, welche nun, nach 8 Monaten, durch Ransomware-Angriffe aktiv ausgenutzt werden. Spätere Aktionen ähnelten dann wiederum den typischen Angriffsmustern der aktuellen Kampagne: Network-Discovery, Verbreitung im Netz, Datenabfluss und nachgelagert die Verschlüsselung der Daten.
Wie können Sie handeln?
Sie nutzen Citrix Application Delivery Controller und NetScaler Gateway der Firma CITRIX und haben Zweifel an der Integrität der Systeme? Unsere BREDEX Experten helfen Ihnen gerne. Erste, empfohlene Maßnahme sollte dabei die Neuaufsetzung des Systems sein. Zudem verwiesen wir auf die Empfehlungen des BSI. Bereits im Januar 2020 hat das BSI eine Citrix-Schwachstellenwarnung rausgegeben, mit folgenden Maßnahmen als Beispiel:
- Netztrennung der kompromittierten Citrix-Instanz
- Sicherung der alten Citrix-Instanz
- Neuaufsetzen der Citrix-Instanz mit dem aktuellsten Build des jeweiligen Versionszweiges und Umsetzung des Workarounds
- Erstellung neuer SSL-/TLS-Zertifikate, Zurückrufen der alten SSL-/TLS-Zertifikate
- Zurücksetzen aller Windows Active Directory Passwörter, wenn sich der Citrix-Nutzerkreis nicht einschränken lässt
- Je nach Netzanbindung Prüfung der Windows Domäne auf weitere Kompromittierungen
- Wurden auf einem kompromittierten Citrix-System Wildcard-SSL-Zertifikate (*.example.com) verwendet, sind bei dem oben angesprochenen Zertifikatstausch alle weiteren Systeme zu berücksichtigen, die das Wildcard-Zertifikat einsetzen.
- Citrix-Administratoren sollten grundsätzlich Citrix-Security-Bulletins mit Hinweisen auf neue Firmware-Versionen abonnieren, um Hinweise auf neue Firmware-Updates zu erhalten
Sie haben weitere Fragen? Kontaktieren Sie uns gerne telefonisch unter 0531-243300 oder per E-Mail an info@bredex.de. Unsere BREDEX Experten antworten Ihnen schnell und stehen Ihnen mit ihrem breiten Wissen und Erfahrung gerne zur Seite.
Autorin
Carolyn Kunze
Jobs
Ihr Ansprechpartner
Gerne erzählen wir Ihnen mehr zu diesem Thema.
