Offensichtlich arbeiten die Citrix-Entwickler aufgrund einer als kritische eingestuften Sicherheitslücke (CVE-2019-19781) in Application Delivery Controller (ADC), Gateway und SD-WAN WANOP Appliance rund um die Uhr: Nun sind früher als angekündigt Sicherheitsupdates erschienen. Bislang konnten Admins zur Absicherung nur einen Workaround befolgen.
Sicherheitsupdates installieren
Wie einem Blog-Beitrag von Citrix zu entnehmen ist, haben die Entwickler nun erste Sicherheitspatches fertiggestellt und veröffentlicht. Ab sofort kann man von ADC die abgesicherten Versionen 11.1 und 12.0 herunterladen.
In dem Beitrag spezifiziert Citrix, für welche Versionen und für welche Fälle die Updates helfen. So sollen sie auch für Gateway Virtual Appliances via beispielsweise Hyper-V oder Azure helfen. Außerdem kann man die Patches nur installieren, wenn man die Versionen 11.1.63.15 und 12.0.63.13 als Ausgangspunkt nutzt.
Die verbleibenden Sicherheitsupdates für Application Delivery Controller 10.5, 12.1, 13 und SD-WAN WANOP sollen am 24. Januar folgen.
Attacken auf Citrix-Lücke
Die kritische Sicherheitslücke sorgt bereits seit Mitte Dezember 2019 für Unruhe. Seitdem wird Admins nahegelegt, ihre Systeme über einen Workaround abzusichern. Dieser funktioniert aber nicht für alle Firmware-Versionen. Mitte Januar tauchte dann der erste Exploit-Code auf und Angreifer scannten aktiv nach verwundbaren Systemen. Kurz darauf fanden die ersten Attacken statt.
Können Angreifer die Schwachstelle erfolgreich ausnutzen, steht dem Zugriff auf Verzeichnisse nichts mehr im Weg. Anschließend könnten sie Dateien manipulieren und sogar Schadcode ausführen.
Quelle: Jetzt patchen! Erste Sicherheitsupdates für kritische Citrix-Lücke erschienen | heise online
Update 20.01.2020:
FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten
Seine Malware löscht jegliche andere Schadsoftware auf Citrix-Geräten. Sie verhindert auch weitere Angriffe von Dritten. Die Motive des Hackers sind nicht bekannt – FireEye vermutet jedoch keine guten Absichten. Citrix veröffentlicht indes die ersten Updates für die Zero-Day-Lücke.
FireEye warnt vor neuen Angriffen auf Citrix-Produkte, die von einer kurz vor Weihnachten bekannt gewordenen Zero-Day-Lücke betroffen sind. Mindestens ein Hacker versucht derzeit die Kontrolle über anfällige Citrix-Server zu übernehmen, indem er sich einen exklusiven Zugang zu den Geräten sichert und Attacken von anderen Angreifern abwehrt.
Der Hacker greift Citrix-Geräte aus dem Tor-Netzwerk heraus an. Er schleust dabei eine Schadsoftware ein, die FireEye als NotRobin bezeichnet. Sie soll zwei Aufgaben erfüllen: ein Hintertür zu der Citrix-Appliance einrichten und jegliche vorhandene andere Malware entfernen sowie Angriffe mit weiterer Malware auf den anfälligen Citrix-Host verhindern.
Unklar ist demnach, ob der Hacker gute oder böse Absichten verfolgt – wobei FireEye vermutet, dass es sich eben nicht um einen „modernen Robin Hood“, sondern einen Bösewicht handelt. Die Forscher gehen davon aus, dass jemand heimlich Zugänge zu NetScaler-Geräten sammelt, um sie bei einer künftigen Kampagne einzusetzen.
Seit rund einer Woche steht Cyberkriminellen Beispielcode für Exploits zur Verfügung, mit denen sich die Anfälligkeit mit der Kennung CVE-2019-19781 angreifen lässt – zumal Citrix der Bug schon länger bekannt ist. Das Unternehmen konnte bisher allerdings fast nur mit einer Behelfslösung reagieren, die inzwischen als zumindest teilweise wirkungslos eingestuft wird.
So rät die niederländische Cybersicherheitsbehörde NCSC Firmen und Organisationen seit Ende vergangener Woche, die betroffenen Citrix Application Delivery Controller und Citrix Gateway abzuschalten. Zuvor mussten ein Krankenhaus in Leeuwarden sowie die Gemeinde Zutphen nach Attacken auf Citrix-Produkte ihre Netzwerke vollständig und für mehrere Tage abschalten.
In einem gestern veröffentlichtenhttps://support.citrix.com/article/CTX267027 Update für sein Security Advisory nennt Citrix nun auch einen Zeitplan für die Bereitstellung von Patches. So werden sei Sonntag die neuen Firmwareversionen 11.1.63.15 und 12.0.63.13 für Citrix ADC und Citrix Gateway verteilt. Am 24. Januar sollen Patches für die Versionen 10.5, 12.1 und 13.0 folgen.
Quelle: FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten | ZDNet.de
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update 20.01.2020