Citrix-Schwachstelle Kompromittiert mit Ansage

Citrix-Nutzer können aus der Ferne auf ihre Firmen- oder Behörden-Netzwerke zugreifen. Auf eine schwere Sicherheitslücke aber haben viele nur träge reagiert.
"Shitrix" erlaubt das Vordringen in Behörden- und Firmennetzwerke

"Shitrix" erlaubt das Vordringen in Behörden- und Firmennetzwerke

Foto: Julian Stratenschulte/ dpa

Das Amüsanteste am IT-Sicherheitsdebakel rund um die Produkte der Firma Citrix ist noch der Kosename: Shitrix. Denn in der Tat gibt es gleich auf mehreren Ebenen heikle Probleme. Citrix entwickelt Softwarelösungen, die den Zugriff auf ein Netzwerk von außen ermöglichen, zum Beispiel zur Fernwartung, für Außendienstmitarbeiter oder als Homeoffice-Zugang.

Bereits seit einem Monat ist die Schwachstelle bekannt . Sie betrifft konkret die Produkte Citrix Gateway und Citrix Application Delivery Controller. Angreifer können über die Schwachstellen beliebigen Code im System der Opfer ausführen und unter Umständen auch Zugangsdaten auslesen. Damit können sie sich im Netzwerk ausbreiten, um zum Beispiel eine Spionagesoftware, einen Trojaner oder eine Erpressersoftware zu installieren.

Citrix hat bisher aber nur einen Workaround präsentiert, also eine Anleitung zur Änderung der Konfiguration, keine vollständigen Patches per Software-Update. Das wird erst zwischen dem 20. und 31. Januar passieren. Sicherheitschef Fermin Serna teilte dem SPIEGEL mit: "Unsere Gründe, die Anleitung zunächst ohne Patches zu veröffentlichen, ist simpel: Wie bei jedem Produkt dieser Art müssen die Maßnahmen umfassend und gründlich getestet sein. Die Anleitungen decken alle unterstützten Versionen unserer Software ab und enthalten detailliert aufgeführte Schritte, potenzielle Attacken über alle bekannten Szenarien hinweg zu stoppen. Sie werden unsere Kunden absichern, bis die Patches fertig sind".

Für Kriminelle ist Citrix ein Jackpot

Den Workaround allerdings haben zahlreiche Citrix-Kunden - unter ihnen Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden  - erst sehr spät oder bis heute nicht implementiert. Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits - also passende Schadcodes - frei im Internet verfügbar  sind, ist das geradezu fahrlässig. „Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS , die sich dem Schutz kritischer Infrastrukturen verschrieben hat.

Dort sieht er ein besonderes Bedrohungspotenzial. Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein "Jackpot", sagt Atug. Schließlich ermögliche die Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten, also etwa bei Verwaltungen, in der Energie- oder der Wasserversorgung - für eine sofortige Erpressung oder auch für einen späteren Angriff. Sprich: Wer ungeschützt war oder ist und bisher nicht kompromittiert wurde, hat schlicht Glück gehabt. Denn Angriffe finden statt und sind auch erfolgreich, wie der SPIEGEL aus der IT-Sicherheitsbranche erfuhr.

Hinzu kommt, dass verwundbare Systeme mit Hilfe spezieller Suchmaschinen wie Shodan von außen leicht erkennbar sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wusste Anfang dieser Woche noch von 3338 ungeschützten Systemen in Deutschland, wie eine Sprecherin mitteilte. Dabei hatte die Behörde seit dem 7. Januar aktiv vor Citrix gewarnt. Wie viele Betreiber insgesamt den Workaround anwenden, sei dem BSI nicht konkret bekannt: "Wir gehen schätzungsweise von einem Drittel Workaround-Implementierung nach der Warnung aus".

BSI-Präsident Arne Schönbohm sagte: "Leider reagieren die Unternehmen und der Mittelstand oft nicht schnell genug. Workarounds werden häufig nicht schnell genug umgesetzt. Wenn wir allein an WannaCry denken, so entstanden hier Schäden in Milliardenhöhe. Ich kann nur mit Nachdruck an die Wirtschaft appellieren, solche Warnungen nicht auf die lange Bank zu schieben". Wie viele Citrix-Anwender zu lange gewartet haben, dürfte sich in den kommenden Tagen bis Wochen herausstellen.

Die Wiedergabe wurde unterbrochen.