Digital
Schweiz

Bund warnt Betreiber kritischer Infrastrukturen vor Citrix-Schwachstelle

Im Internet kursieren diverse Anleitungen, um die Citrix-Schwachstelle auszunutzen. Laut IT-Sicherheitsexperten sind auch hierzulande viele Server potenziell betroffen.
Im Internet kursieren diverse Anleitungen, um die Citrix-Schwachstelle auszunutzen. Laut IT-Sicherheitsexperten sind auch hierzulande viele Server potenziell betroffen. screenshot: bad packets / via twitter

Bund warnt Betreiber kritischer Infrastrukturen vor gefährlicher Sicherheitslücke

Die ins Visier von Hackern geratene Fernzugriffs-Software wird von vielen grossen Firmen, KMU und staatlichen Institutionen eingesetzt. Das Schadenspotenzial ist beträchtlich, die Folgen noch nicht absehbar.
15.01.2020, 15:5616.01.2020, 07:14
Mehr «Digital»

Was ist passiert?

Eine schwere Sicherheitslücke bei der populären Fernzugriffs-Software Citrix betrifft hunderte grosse Unternehmen, KMU und staatliche Institutionen in der Schweiz und zehntausende weltweit. Darunter auch Betreiber kritischer Infrastrukturen, wie beispielsweise Spitäler und Kraftwerke.

Bei Twitter wird unter dem Hashtag #Shitrix gespottet und über die schwer abzuschätzende Bedrohungslage diskutiert. Der Bund hat am Nachmittag informiert (siehe unten).

Was sagen Betroffene?

Weil Angriffstools (Exploits) im Internet verfügbar und relativ leicht ausführbar sind, kam es in den letzten Tagen zu zahlreichen Angriffsversuchen, auch auf grosse Schweizer Unternehmen, wo häufig Citrix-Software eingesetzt wird.

Roberto Brunazzi, Kommunikationschef beim Baloise-Versicherungskonzern, bestätigt auf Anfrage:

«Wir stellten seit ein paar Tagen verstärkt Versuche fest, die bekanntgewordene Sicherheitslücke von Citrix für feindliche Angriffe auszunutzen. Diese konnten alle so abgewehrt werden, dass keine Kunden- oder Unternehmensdaten extrahiert wurden, bzw. kein sonstiger Schaden entstanden ist.»

Laut dem Baloise-Sprecher haben die IT-Spezialisten die eigenen Server mit einem «Workaround» abgeschottet.

«Die empfohlenen Schutzmassnahmen zur temporären Schliessung dieser Sicherheitslücke wurden von uns bereits erfolgreich umgesetzt. Wir erwarten nun die Bereitstellung eines entsprechenden Software-Updates durch Citrix zur nachhaltigen Schliessung der Sicherheitslücke. Dieses Update wird kurzfristig erwartet.»

Was für Software ist das?

Die betroffenen Citrix-Programme dienen gemäss Agenturbericht «zur Optimierung der Server-Leistung sowie zur externen Einwahl in die IT-Infrastruktur». Die Sicherheitslücke ermögliche es Angreifern, aus dem Internet Codes auf ungeschützte Server zu schmuggeln und auszuführen.

Die US-Zertifizierungsstelle NIST bewerte die Software-Schwachstelle mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 Punkten und habe ihr das Attribut «kritisch» gegeben, schreibt SRF Online. In der Tat erlaube es die Schwachstelle, willkürlichen Code auf angegriffenen Systemen auszuführen. Denkbar seien «Datendiebstähle, unerwünschte Verschlüsselung von Daten oder ein Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren».

Wie reagiert der Bund?

Die zuständige Fachstelle des Bundes liess am Mittwochnachmittag via Twitter verlauten, dass potenziell betroffene Institutionen am Montag gewarnt worden seien:

«Wir haben die betroffenen Betreiber kritischer Infrastrukturen, wie auch die KMUs, Gemeinden, Spitäler, etc. bereits am Montag einzeln dazu kontaktiert. Bei weit über hundert Meldungen mit entsprechenden Nachfragen und Hilfeleistungen ist an Schlaf nicht zu denken.»
quelle: twitter

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) dementiert auf Anfrage einen bei Twitter verbreiteten Hinweis, wonach der Armee-Einsatz des WEF in Davos von der Sicherheitslücke betroffen sei, respektive die Software, um die Einsatzkräfte zu koordinieren.

Gemäss dem VBS-Sprecher Andreas B. Bucher basiert die vom Bundesamt für Bevölkerungsschutz (Babs) und dem Nachrichtendienst des Bundes (NDB) für das Weltwirtschaftsforum verwendete ELD-Software (Elektronische Lagedarstellung) nicht auf dem Behörden-Informationssystem LAFIS. «Die von Ihnen erwähnte Sicherheitslücke bei Citrix ist hier also nicht von Bedeutung.»

Wie schlimm ist es?

Seit über vier Wochen ist bekannt, dass bei Servern von tausenden Unternehmen und öffentlichen Einrichtungen in vielen Ländern weltweit eine besonders schwere Sicherheitslücke besteht. Laut Medienberichten und Warnungen von IT-Sicherheitsexperten wurden viele angreifbare Server aber nicht zeitnah durch einen ebenfalls seit Dezember 2019 bekannten Workaround abgesichert. Citrix will am 20. Januar einen Notfall-Patch, bzw. ein Software-Update, bereitstellen.

Am vergangenen Wochenende eskalierte die Situation, nachdem bekannt wurde, dass Hacker Exploits veröffentlicht haben, mit denen sich die Schwachstelle relativ einfach ausnutzen lasse. Gemäss Recherchen des SWR bestand die Lücke bis Montag auf tausenden deutschen Servern. Es drohten Sabotage, Diebstahl und Manipulation sensibler Daten.

Am Dienstag berichtete SRF Online, dass auch in der Schweiz hunderte Server von Unternehmen betroffen seien.

«SRF Data konnte diese Systeme über 200 grossen Schweizer Unternehmen und Institutionen zuordnen: Darunter Finanzinstitute, multinationale Konzerne, Detailhändler, Medienhäuser, Krankenhäuser, Gemeinden, öffentliche Werke und ÖV-Betriebe, sowie mehrere Dutzend KMUs.»
quelle: srf.ch

Der erfahrene IT-Sicherheitsexperte Marc Ruef, Scip AG, bestätigt auf Anfrage, dass die Schwachstelle und die Umstände tatsächlich «leicht ungewöhnlich» seien.

Zeitgleich habe aber diese Woche auch Microsoft einige kritische Schwachstellen publiziert – bei denen halt noch kein funktionaler Exploit vorhanden sei. Aber auch das könnte sich jede Minute ändern. «Extrem ungewöhnlich ist das also nicht», hält der Kenner des Exploit-Marktes fest.

Sicher ist: Viele IT-Verantwortliche und Netzwerk-Spezialisten werden wohl noch länger auf Trab gehalten wegen der Citrix-Schwachstelle und ihren möglichen Auswirkungen.

Was sind die Folgen?

Die sind noch nicht absehbar.

«Die schlechte Nachricht ist, dass selbst wenn Sie Ihre Systeme am Montagmorgen gepatcht haben, können Sie ihnen streng genommen nicht mehr vertrauen.»
Florian Roth, IT-Sicherheitsexpertequelle: twitter
Bild
screenshot: twitter

Im SWR-Bericht prognostiziert ein anderer deutscher IT-Sicherheitsexperte, dass die kompromittierten Unternehmen wohl noch monatelang mit den Folgen dieser Schwachstelle zu kämpfen hätten. Womöglich seien Hacker unbemerkt eingedrungen und hätten die Spuren wieder verwischt. «Um das auszuschliessen, müssen die betroffenen Server nun gründlich nach Schadsoftware abgesucht werden.»

Quellen:

(dsc)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Ransomware – Angriff der Verschlüsselungstrojaner
1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
Wenn diese hässliche Fratze auf dem Bildschirm auftaucht, ist es zu spät ...
quelle: screenshot: youtube
Auf Facebook teilenAuf X teilen
Zuviel am Handy? Dr. Watson weiss, woran du leidest
Video: watson
Das könnte dich auch noch interessieren:
17 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Omegon
15.01.2020 16:33registriert Oktober 2015
Naja, Citrix hat schon lange einen Workaround publiziert und Kunden informiert.. gut ein Fix ist nicht verfügbar aber die Schritte sollten dennoch umgesetzt worden sein. Wer nicht reagiert hat handelt fahrlässig

...sonst gibts auch andere Lösung...
836
Melden
Zum Kommentar
avatar
Madison Pierce
15.01.2020 16:26registriert September 2015
Billige Path-Traversal-Lücke, in einer Software, die man unter anderem als Sicherheitslösung verkauft hat, auslösbar über eine Seite, deren Funktionalität viele Kunden gar nicht benötigen: man ist froh, arbeitet man nicht als Verkäufer bei Citrix...

Zum Glück liegen keine heiklen Daten auf den Appliances. Und man war hoffentlich schlau genug, für den NetScaler ein anderes Passwort zu nehmen als für die internen Server.

Wenigstens ist die Konfiguration in einer Textdatei gespeichert. Man kann diese sichern, prüfen und dann auf einer neuen Kiste wieder einspielen. Ist nicht so viel Aufwand.
442
Melden
Zum Kommentar
avatar
Garp
15.01.2020 16:07registriert August 2018
Die Schweiz steht im Vergleich zu ihrer Grösse sehr schlecht da. Man sollte die Karte oben auf die Anzahl Unternehmen und Behörden etc. hochrechnen.
439
Melden
Zum Kommentar
17
«Es steht halt so im Kalender» – wir wollen wissen, warum man Ostern feiert

Hach, Ostern. Das verlängerte Wochenende zum Frühlingsbeginn kommt uns doch stets willkommen und kommt uns vom Winter und von der Arbeit Geschundenen sehr entgegen. Aber wisst ihr, warum wir frei haben? Was wird überhaupt gefeiert? Und was war nochmal Gründonnerstag?

Wir haben euch gefragt, das waren eure Antworten:

Zur Story