Mitte Dezem­ber wurde bekan­nt, dass die beliebte Fernzu­griffs-Soft­ware Cit­rix eine Sicher­heit­slücke hat. Das scheint viele der Fir­men und Organ­i­sa­tio­nen wenig zu beküm­mern – obwohl es im Inter­net eine Anleitung für Hack­er gibt.a

Die Sicherheitslücke betrifft verschiedene Versionen des Application Delivery Controller (ADC) und des Citrix Gateway. Diese Netzwerk-Komponenten sind unter anderem dazu da, externe Mitarbeiter in das interne Firmennetzwerk einzubinden.
Jason Alen / Bloomberg

Eine Sicher­heit­slücke in ein­er Net­zw­erk-Kom­po­nente von Cit­rix macht rund um die Welt Zehn­tausende von Fir­men­net­zw­erken angreif­bar. Auch Schweiz­er Fir­men und Organ­i­sa­tio­nen sind betrof­fen. Dass es diese Lücke gibt, ist seit Mitte Dezem­ber bekan­nt. Damals hat­te das amerikanis­che Com­puterun­ternehmen ihre Kun­den auf das Prob­lem aufmerk­sam gemacht und Abhil­fe – einen soge­nan­nten Patch – in Aus­sicht gestellt. Doch seit ein paar Tagen zeigt sich, dass die Sicher­heit­slücke bere­its aus­genutzt wird, noch bevor der von Cit­rix für den 20. Jan­u­ar ver­sproch­ene Patch parat ist. Die Sicher­heit­slücke bet­rifft ver­schiedene Ver­sio­nen des Appli­ca­tion Deliv­ery Con­troller (ADC) und des Cit­rix Gate­way. Diese Net­zw­erk-Kom­po­nen­ten – auch als NetScaler ADC oder NetScaler Gate­way bekan­nt – sind unter anderem dazu da, externe Mitar­beit­er in das interne Fir­men­net­zw­erk einzu­binden. Sie sind mit einem Portier­häuschen zu ver­gle­ichen, das den Zutritt zum Fir­men­gelände regelt.

Warten auf den Patch

In der Daten­bank der Com­mon Vul­ner­a­bil­i­ties and Expo­sures (CVE), eines Indus­tri­e­s­tandards zur Benen­nung von Sicher­heitsvor­fällen, ist die Cit­rix-Sicher­heit­slücke unter der Num­mer CVE-2019–19781 doku­men­tiert. Ein solch­er Sicher­heitsvor­fall ermöglicht es einem Angreifer, in das «Portier­häuschen» einzu­drin­gen und Infor­ma­tio­nen einzusam­meln, mit deren Hil­fe dann unter bes­timmten Umstän­den auf den Serv­er-Com­put­ern eines Fir­men­net­zw­erks einzelne Benutzerkon­ten auss­pi­oniert wer­den kön­nen. Dies ist dann möglich, wenn der Benutzer ein Pass­wort gewählt hat, das leicht rekon­stru­iert wer­den kann. Fach­leute beze­ich­nen die Sicher­heit­slücke als ein «gravieren­des» Prob­lem, Cit­rix sel­ber stuft die Sicher­heit­slücke als «kri­tisch» ein.

Das Soft­ware-Unternehmen hat mit­tler­weile einen Code pub­liziert, der es den betrof­fe­nen Fir­men erlaubt, die Net­zw­erkkom­po­nente behelf­s­mäs­sig zu schützen. Der von Cit­rix in Aus­sicht gestellte Patch soll dann auf der Ebene der Firmware greifen. Doch noch immer haben sehr viele Net­zw­erk-Ver­ant­wortliche den Ernst der Lage nicht erkan­nt; offen­bar gibt es noch immer zahlre­iche Cit­rix-Kom­po­nen­ten, die ungeschützt im Inter­net zugänglich sind.

Der Sicher­heits­forsch­er Mikhail Klyuch­nikov von der britis­chen Sicher­heits­fir­ma Pos­i­tive Tech­nolo­gies schätzt, dass Ende ver­gan­genen Jahres mehr als 80 000 Fir­men betrof­fen waren. Troy Mursch, ein Experte im Dienst der amerikanis­chen Sicher­heits­fir­ma Bad­pack­et, bez­if­ferte die betrof­fe­nen Fir­men Mitte Jan­u­ar auf 25 000. In der Schweiz seien mehr als 1000 Fir­men­net­zw­erke angreif­bar. Von Schweiz­er Cit­rix-Kun­den ist zu hören, sie seien ent­täuscht über die langsame Reak­tion von Cit­rix. Man füh­le sich allein­ge­lassen. Die Sit­u­a­tion hat­te sich Ende ver­gan­gener Woche ver­schärft, als im Inter­net ein soge­nan­nter «Exploit» auf­tauchte, also eine Anleitung wie Hack­er die Sicher­heit­slücke aus­nutzen kön­nen.

Man arbeite mit «Hochdruck» an der Entwick­lung eines dauer­haften Patch, heisst es bei Cit­rix. Dieser Flick­en müsse «umfassend» sein, alle unter­stützten Ver­sio­nen der Soft­ware abdeck­en und gründlich getestet wer­den. Der Patch sei «ab näch­ster Woche» parat.

Mindestens zehn betroffene Schweizer Firmen

Das Nationale Zen­trum für Cyber­sicher­heit (NCSC.ch) hat seit Dezem­ber Ken­nt­nis von dem Prob­lem. Das erst im Jan­u­ar ges­tartete Kom­pe­tenzzen­trum geht davon aus, dass die IT-Betreiber, bei welchen Cit­rix-Sys­teme ver­wen­det wer­den, ihre Ver­ant­wor­tung wahrnehmen und rasch han­deln, um Schaden zu ver­mei­den. Das NCSC habe momen­tan Ken­nt­nis von zehn betrof­fe­nen Fir­men aus unter­schiedlichen Branchen, wie eine Sprecherin mit­teilte. Bei diesen sei die Ver­wund­barkeit im Sys­tem aus­genutzt wor­den und Schad­code plac­i­ert. Es beste­he jedoch keine Meldepflicht von Cyber­vor­fällen und man gehe davon aus, dass es noch weit­ere Opfer in der Schweiz gebe.

Die Melde- und Analy­ses­telle Infor­ma­tion­ssicherung (Melani), die der Kern des neuen Kom­pe­tenzzen­trums ist, habe wie Cit­rix bere­its im Dezem­ber erste Kon­tak­te mit Betreibern kri­tis­ch­er Infra­struk­turen aufgenom­men und die Infor­ma­tio­nen von Cit­rix mit diesen gemein­sam ver­i­fiziert. Nach­dem ver­gan­gene Woche jedoch der Exploit veröf­fentlicht wurde, hat Melani am ver­gan­genen Son­ntag eine Analyse durchge­führt und am Mon­tag aber­mals die Betreiber der kri­tis­chen Infra­struk­turen sowie betrof­fene KMU aufge­fordert, die geforderten Mass­nah­men umge­hend umzuset­zen.

Ob mit­tler­weile alle betrof­fe­nen Betreiber kri­tis­ch­er Infra­struk­tur die Sicher­heit­slücke behoben haben, ist noch nicht klar. Es seien noch nicht alle Rück­mel­dun­gen eingetrof­fen, heisst es. Man gehe aber davon aus, dass nun alle Betreiber kri­tis­ch­er Infra­struk­turen die Umset­zung der Mass­nah­men ange­gan­gen hät­ten.

Auch das Lage- und Führungs-Infor­ma­tion­ssys­tem (Lafis), das etwa am World Eco­nom­ic Forum in Davos von Ein­satzkräften genutzt wird, läuft auf Cit­rix. Das Lafis ermöglicht dem Lage­ver­bund bzw. den beteiligten Kan­to­nen, welche das Sys­tem nutzen, eine ständig aktu­al­isierte Über­sicht über die laufend­en Oper­a­tio­nen und auch über die genauen Stan­dorte der Ein­satzkräfte. Neben der Über­sicht ermöglicht es auch eine kan­ton­süber­greifende Ein­satz­pla­nung und ‑führung. Wie die Kan­ton­spolizei Zürich auf Anfrage mit­teilt, hat sie bere­its im Vor­feld ergänzende Mass­nah­men ergrif­f­en, so dass «zu keinem Zeit­punkt ein Sicher­heit­sprob­lem» bestand. 

Quelle: www.nzz.ch

Kostenlos - eBook digitale Kompetenz

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch - eBook digitale Kompetenz

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden

digitalexpert-logo-newExklusiv bei digitalexpert.ch

Jetzt kostenlos bestellen:
Exklusiv bei digitalexpert.ch — eBook digital comptence (english)

 

Ihre E-Mail-Adresse (Pflichtfeld)

Ich wünsche jeweils über neue kostenlose eBooks informiert zu werden