Shitrix: Das Citrix-Desaster
Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Eine große Sicherheitslücke in Citrix-Netzwerkgeräten wird seit einigen Tagen in großem Maßstab ausgenutzt. Golem.de hat heute getestet, welche Systeme in Deutschland aktuell noch für die Lücke (CVE-2019-19781) verwundbar sind. Darunter finden sich nicht wenige Systeme in deutschen Behörden. Der Sächsische Landtag, die Leitstellen der Rettungsdienste in Bayern, das Bundesland Hessen, das zum Verkehrs- und Digitalisierungsministerium gehörende Bundeseisenbahnvermögen. Dazu kommen unzählige Firmen, Universitäten, Krankenhäuser und Gemeinden.
Ebenso betreibt die CSU im Bayerischen Landtag einen inzwischen vermutlich kompromittierten Citrix-Server. Auch die EU hat zahlreiche verwundbare Systeme am Netz, betroffen sind das europäische Amt für geistiges Eigentum, die Arzneimittelagentur EMA und die europäische Polizeiakademie.
Es fehlt an den absoluten Grundlagen
Der Vorfall zeigt vor allem eins: Es fehlt in Sachen IT-Sicherheit an den absoluten Grundlagen. Es geht hier nicht um ausgefallene Angriffe oder die Notwendigkeit von besonders fortgeschrittenen Schutzmaßnahmen. Es geht schlicht darum: Wenn eine schwere Sicherheitslücke in einem Produkt bekannt wird und man das entsprechende Produkt einsetzt, muss man sich darum zeitnah kümmern. Wer das knapp einen Monat nach Bekanntwerden einer Lücke nicht geschafft hat, macht klar: IT-Sicherheit spielt dort keine Rolle.
Bekannt ist die Lücke, die inzwischen auch Shitrix genannt wird, seit dem 17. Dezember. Seitdem gibt es vom Hersteller auch eine Anleitung, wie man Angriffe blockieren kann. Golem.de hat vorige Woche darüber berichtet, nachdem erste technische Details bekannt geworden waren. Seit vergangenen Freitag findet man Exploits frei verfügbar auf Github, auch große Medien haben das Thema inzwischen aufgegriffen.
Das Besondere an der Lücke: Sie lässt sich extrem einfach ausnutzen, ein Angriff lässt sich in einem zweizeiligen Shellskript durchführen. Ersten Berichten zufolge finden zurzeit großflächig Angriffe statt, die auf den betroffenen Systemen Cryptominer installieren.
Die oben genannten Behörden und Institutionen haben wir alle heute über die verwundbaren Systeme informiert. Antworten haben wir bisher nur wenige erhalten. Das bayerische Landesamt für Sicherheit in der Informationstechnik informierte uns telefonisch, dass die Systeme der dortigen Rettungsleitstelle nun geschützt seien. Von zehn betroffenen Servern waren aber sieben weiterhin erreichbar und verwundbar.
Jetzt hilft nur noch abschalten und neu aufsetzen
Wer jetzt seine Systeme noch nicht aktualisiert hat, kann fast sicher sein, dass sie bereits kompromittiert sind. Da hilft nur noch eines: abschalten und komplett neu aufsetzen - oder gleich auf Systeme eines so fragwürdigen Herstellers verzichten.
Denn auch wenn das keine Entschuldigung für das schlampige Verhalten der Behörden ist: Bis heute stellt Citrix kein Update für die Sicherheitslücke bereit. Auch das ist durch nichts zu entschuldigen.
Nachtrag vom 14. Januar 2020, 14:41 Uhr
Wir haben inzwischen weitere Rückmeldungen erhalten. Der sächsische Landtag, die CSU-Landtagsfraktion und die bayrische Rettungsleitstelle haben ihre Systeme nun abgesichert.
Nachtrag vom 16. Januar 2020, 13:29 Uhr
Ursprünglich hatten wir geschrieben, dass das Europäische Patentamt von der Sicherheitslücke betroffen war. Das war nicht korrekt, es handelte sich um das Europäische Amt für geistiges Eigentum (EUIPO). Wir bitten diesen Fehler zu entschuldigen.
Sicher man möchte seine Systeme sicher wissen, jedoch hat der Hersteller den Angriff...
Aber nur der VPN-Port, nicht das Admin-webinterface!
Von nem VPN würde ich erwarten daß man an genau einem einzigen Port nach ner sicheren...
Ja, die Vergabeordnung ist kompliziert, so kompliziert (in dem Fall hier für Software...