Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Im Internet kursieren diverse Anleitungen, um die Citrix-Schwachstelle auszunutzen. Laut IT-Sicherheitsexperten sind auch hierzulande viele Server potenziell betroffen. screenshot: bad packets / via twitter

Bund warnt Betreiber kritischer Infrastrukturen vor gefährlicher Sicherheitslücke

Die ins Visier von Hackern geratene Fernzugriffs-Software wird von vielen grossen Firmen, KMU und staatlichen Institutionen eingesetzt. Das Schadenspotenzial ist beträchtlich, die Folgen noch nicht absehbar.



Was ist passiert?

Eine schwere Sicherheitslücke bei der populären Fernzugriffs-Software Citrix betrifft hunderte grosse Unternehmen, KMU und staatliche Institutionen in der Schweiz und zehntausende weltweit. Darunter auch Betreiber kritischer Infrastrukturen, wie beispielsweise Spitäler und Kraftwerke.

Bei Twitter wird unter dem Hashtag #Shitrix gespottet und über die schwer abzuschätzende Bedrohungslage diskutiert. Der Bund hat am Nachmittag informiert (siehe unten).

Was sagen Betroffene?

Weil Angriffstools (Exploits) im Internet verfügbar und relativ leicht ausführbar sind, kam es in den letzten Tagen zu zahlreichen Angriffsversuchen, auch auf grosse Schweizer Unternehmen, wo häufig Citrix-Software eingesetzt wird.

Roberto Brunazzi, Kommunikationschef beim Baloise-Versicherungskonzern, bestätigt auf Anfrage:

«Wir stellten seit ein paar Tagen verstärkt Versuche fest, die bekanntgewordene Sicherheitslücke von Citrix für feindliche Angriffe auszunutzen. Diese konnten alle so abgewehrt werden, dass keine Kunden- oder Unternehmensdaten extrahiert wurden, bzw. kein sonstiger Schaden entstanden ist.»

Laut dem Baloise-Sprecher haben die IT-Spezialisten die eigenen Server mit einem «Workaround» abgeschottet.

«Die empfohlenen Schutzmassnahmen zur temporären Schliessung dieser Sicherheitslücke wurden von uns bereits erfolgreich umgesetzt. Wir erwarten nun die Bereitstellung eines entsprechenden Software-Updates durch Citrix zur nachhaltigen Schliessung der Sicherheitslücke. Dieses Update wird kurzfristig erwartet.»

Was für Software ist das?

Die betroffenen Citrix-Programme dienen gemäss Agenturbericht «zur Optimierung der Server-Leistung sowie zur externen Einwahl in die IT-Infrastruktur». Die Sicherheitslücke ermögliche es Angreifern, aus dem Internet Codes auf ungeschützte Server zu schmuggeln und auszuführen.

Die US-Zertifizierungsstelle NIST bewerte die Software-Schwachstelle mit einer sehr hohen Gefährlichkeit von 9.8 aus 10 Punkten und habe ihr das Attribut «kritisch» gegeben, schreibt SRF Online. In der Tat erlaube es die Schwachstelle, willkürlichen Code auf angegriffenen Systemen auszuführen. Denkbar seien «Datendiebstähle, unerwünschte Verschlüsselung von Daten oder ein Einnisten über längere Zeit, um beispielsweise ein Unternehmen auszuspionieren».

Laut der Spezial-Suchmaschine Shodan sollen weltweit über 125'000 Systeme durch Exploits angreifbar sein.

Wie reagiert der Bund?

Die zuständige Fachstelle des Bundes liess am Mittwochnachmittag via Twitter verlauten, dass potenziell betroffene Institutionen am Montag gewarnt worden seien:

«Wir haben die betroffenen Betreiber kritischer Infrastrukturen, wie auch die KMUs, Gemeinden, Spitäler, etc. bereits am Montag einzeln dazu kontaktiert. Bei weit über hundert Meldungen mit entsprechenden Nachfragen und Hilfeleistungen ist an Schlaf nicht zu denken.»

quelle: twitter

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) dementiert auf Anfrage einen bei Twitter verbreiteten Hinweis, wonach der Armee-Einsatz des WEF in Davos von der Sicherheitslücke betroffen sei, respektive die Software, um die Einsatzkräfte zu koordinieren.

Gemäss dem VBS-Sprecher Andreas B. Bucher basiert die vom Bundesamt für Bevölkerungsschutz (Babs) und dem Nachrichtendienst des Bundes (NDB) für das Weltwirtschaftsforum verwendete ELD-Software (Elektronische Lagedarstellung) nicht auf dem Behörden-Informationssystem LAFIS. «Die von Ihnen erwähnte Sicherheitslücke bei Citrix ist hier also nicht von Bedeutung.»

Wie schlimm ist es?

Seit über vier Wochen ist bekannt, dass bei Servern von tausenden Unternehmen und öffentlichen Einrichtungen in vielen Ländern weltweit eine besonders schwere Sicherheitslücke besteht. Laut Medienberichten und Warnungen von IT-Sicherheitsexperten wurden viele angreifbare Server aber nicht zeitnah durch einen ebenfalls seit Dezember 2019 bekannten Workaround abgesichert. Citrix will am 20. Januar einen Notfall-Patch, bzw. ein Software-Update, bereitstellen.

Am vergangenen Wochenende eskalierte die Situation, nachdem bekannt wurde, dass Hacker Exploits veröffentlicht haben, mit denen sich die Schwachstelle relativ einfach ausnutzen lasse. Gemäss Recherchen des SWR bestand die Lücke bis Montag auf tausenden deutschen Servern. Es drohten Sabotage, Diebstahl und Manipulation sensibler Daten.

Am Dienstag berichtete SRF Online, dass auch in der Schweiz hunderte Server von Unternehmen betroffen seien.

«SRF Data konnte diese Systeme über 200 grossen Schweizer Unternehmen und Institutionen zuordnen: Darunter Finanzinstitute, multinationale Konzerne, Detailhändler, Medienhäuser, Krankenhäuser, Gemeinden, öffentliche Werke und ÖV-Betriebe, sowie mehrere Dutzend KMUs.»

quelle: srf.ch

Der erfahrene IT-Sicherheitsexperte Marc Ruef, Scip AG, bestätigt auf Anfrage, dass die Schwachstelle und die Umstände tatsächlich «leicht ungewöhnlich» seien.

Zeitgleich habe aber diese Woche auch Microsoft einige kritische Schwachstellen publiziert – bei denen halt noch kein funktionaler Exploit vorhanden sei. Aber auch das könnte sich jede Minute ändern. «Extrem ungewöhnlich ist das also nicht», hält der Kenner des Exploit-Marktes fest.

Sicher ist: Viele IT-Verantwortliche und Netzwerk-Spezialisten werden wohl noch länger auf Trab gehalten wegen der Citrix-Schwachstelle und ihren möglichen Auswirkungen.

Was sind die Folgen?

Die sind noch nicht absehbar.

«Die schlechte Nachricht ist, dass selbst wenn Sie Ihre Systeme am Montagmorgen gepatcht haben, können Sie ihnen streng genommen nicht mehr vertrauen.»

Florian Roth, IT-Sicherheitsexperte quelle: twitter

Bild

screenshot: twitter

Im SWR-Bericht prognostiziert ein anderer deutscher IT-Sicherheitsexperte, dass die kompromittierten Unternehmen wohl noch monatelang mit den Folgen dieser Schwachstelle zu kämpfen hätten. Womöglich seien Hacker unbemerkt eingedrungen und hätten die Spuren wieder verwischt. «Um das auszuschliessen, müssen die betroffenen Server nun gründlich nach Schadsoftware abgesucht werden.»

Quellen:

(dsc)

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Ransomware – Angriff der Verschlüsselungstrojaner

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

15
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
15Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Tom Garret 16.01.2020 00:27
    Highlight Highlight Tja als Jahrelanger Citrix Techi natürlich unerfreulich. Und natürlich dürfte sowas nicht passieren, ist aber in jüngerer Vergangenheit immer öfters der Fall. Citrix hat den Umständen entsprechend richtig reagiert und sofort einen Workaround publiziert. Wir haben den auch sofort umgesetzt. Dass das jetzt so breitgetreten wird hat weniger mit Citrix zu tun, sondern mit all jenen die nicht auf die X-Fachen Meldungen von Citrix reagiert haben. Dass die Exploits kommen war absehbar. Trotzdem, der Schaden ist imens wo nicht reagiert wurde...
  • Domimar 15.01.2020 22:44
    Highlight Highlight Besteht die direkte bedrohung auch, wenn ein zugriff von extern ausschliesslich über zwei wege authentifikation von einem anderen anbieter geht?
    • Score 16.01.2020 09:07
      Highlight Highlight Ja, es hat mit der Authentifizierung selbst nichts zu tun. Die Lücke ist darum so kritisch weil über diese einfach gesprochen hintenrum zugegriffen werden kann. Also ohne Authentifizierung. Die Schwere wird mit 9.8 von 10 eingeschätzt.
      Es kursieren schon viele Tweets von betroffenen die veränderte Konfigs festgestellt haben, auch in der Schweiz.
      Und die nächste Grosse Lücke wurde ja von der NSA bereits gestern publiziert, diesmal betrifft es Windows 10 und Server 2016. Und DAS muss man sich mal überlegen. Die NSA warnd davor anstatt diese auszunutzen, so übel ist das...
    • Domimar 16.01.2020 11:19
      Highlight Highlight @Score Danke. Ich glaube bei uns wurde das letztes Jahr ende Dezember bereits gefixt, es laufen aber noch Klärungen.
  • The Snitcher 15.01.2020 16:33
    Highlight Highlight Naja, Citrix hat schon lange einen Workaround publiziert und Kunden informiert.. gut ein Fix ist nicht verfügbar aber die Schritte sollten dennoch umgesetzt worden sein. Wer nicht reagiert hat handelt fahrlässig

    ...sonst gibts auch andere Lösung...
  • Madison Pierce 15.01.2020 16:26
    Highlight Highlight Billige Path-Traversal-Lücke, in einer Software, die man unter anderem als Sicherheitslösung verkauft hat, auslösbar über eine Seite, deren Funktionalität viele Kunden gar nicht benötigen: man ist froh, arbeitet man nicht als Verkäufer bei Citrix...

    Zum Glück liegen keine heiklen Daten auf den Appliances. Und man war hoffentlich schlau genug, für den NetScaler ein anderes Passwort zu nehmen als für die internen Server.

    Wenigstens ist die Konfiguration in einer Textdatei gespeichert. Man kann diese sichern, prüfen und dann auf einer neuen Kiste wieder einspielen. Ist nicht so viel Aufwand.
    • Winschdi 15.01.2020 19:21
      Highlight Highlight ... Und genau diese conf wurde extrahiert. Keine gute Idee, diese 1 zu 1 zu übernehmen.
  • Aussie 15.01.2020 16:20
    Highlight Highlight Hunderte? Aktuell findet Shodan noch über 2700 Server in der Schweiz, die betroffen sein könnten.
  • Locutus70 15.01.2020 16:14
    Highlight Highlight Mit Software zur Optimierung der Serverleistung sollte man vorsichtig sein. Ich mach das Handmade - es ist zwar mehr Aufwand, aber sicherer.
    • Kiro Striked 15.01.2020 16:23
      Highlight Highlight Mein Lehrer in der Berufsschule sagte immer: "Je mehr fixfertige Lösungen man irgendwo obendrauf packt, desto risikoreicher wird es".
    • p4trick 15.01.2020 16:30
      Highlight Highlight Ich weiss jetzt nicht was du oder der Author mit "Optimierung der Serverleistung" genau meinen :-)
      NetScaler ist quasi ein Load Balancer.
      Also wenn du für deine Server das Load Balancing des Netzwerktraffics handmade machst, dann Hut ab! ich wäre nicht so schnell. Wieviele QPS schaffst du? ;-)
  • Garp 15.01.2020 16:07
    Highlight Highlight Die Schweiz steht im Vergleich zu ihrer Grösse sehr schlecht da. Man sollte die Karte oben auf die Anzahl Unternehmen und Behörden etc. hochrechnen.
    • Happy_Warbird 15.01.2020 16:25
      Highlight Highlight Heute morgen waren es noch über 1700 Hosts und bei uns siehts nicht so schlimm aus, DE hat noch einige mehr offen.
    • Garp 15.01.2020 16:40
      Highlight Highlight Aber Deutschland ist viel grösser und hat viel mehr Betriebe, die nicht betroffen sind, im Verhältnis zur Schweiz.
    • samuel_97 15.01.2020 18:11
      Highlight Highlight Wusste garnicht dass die Anzahl Citrix-Installationen pro Land an die Bevölkerungsdichte bzw. Grösse geknüpft ist...

«Grösster Hack in Twitter-Geschichte» – Unbekannte hacken Accounts von Obama, Musk und Co.

Unbekannte haben am Mittwoch zahlreiche Twitter-Accounts von Prominenten gehackt. Über die Twitter-Profile von Ex-Präsident Barack Obama, Präsidentschaftskandidat Joe Biden und Amazon-Chef Jeff Bezos sowie vieler anderer verbreiteten die Hacker Werbung für dubiose Kryptowährungs-Deals. Auch Accounts von Firmen wie Apple und Uber waren betroffen.

Wie genau der in seinem Ausmass beispiellose Hack passieren konnte, blieb zunächst unklar. Viele der Twitter-Accounts wurden zeitweise gesperrt, waren …

Artikel lesen
Link zum Artikel