Softwarehersteller Citrix muss sich derzeit gehörige Kritik gefallen lassen. Nicht nur, dass bereits Mitte Dezember eine besonders gefährliche Lücke in der eigenen Software offenbar wurde, hat man es bisher auch nicht geschafft, ein Update zu dessen Bereinigung zu liefern. Und spätestens jetzt wird dies zu einem echten Problem.

Exploit

Seit kurzem sind Proof-of-Concept-Exploits für die von Sicherheitsforschern wenig freundlich "Shitrix" (CVE-2019-19781) getaufte Lücke verfügbar. Das heißt, dass es für Dritte noch einfacher wird, Angriffe gegen ungeschützte Systeme durchzuführen. Und davon gibt es jede Menge: So hatte jener Sicherheitsforscher, der damals die Lücke öffentlich gemacht hat, Mikhail Klyuchnikov von der britischen Firma Positive Technologies, von 80.000 betroffenen Unternehmen gesprochen.

Seitdem hat Citrix zwar zumindest eine Anleitung veröffentlicht, wie man bis zur Verfügbarkeit einer echten Lösung solche Attacken ins Leere laufen lassen kann. Diese Ratschläge dürften aber offenbar noch längst nicht bei allen angekommen sein. Aktuelle Scans von Bad Packet Reports zeigen, dass noch immer zehntausende Server gefährdet sind. Alleine in den USA sind es derzeit 9.880 Stück, in Deutschland ebenfalls noch 2.510. Und Österreich ist mit 433 gefährdeten Servern gar überproportional vertreten.

Hintergrund

Die betreffende Lücke befindet sich im Citrix Application Delivery Controller. Über sie ist es Angreifern aus dem Internet möglich, Code auf die entsprechenden Appliances einzuschmuggeln und zur Ausführung zu bringen.

Das Risiko für nicht geschützte Systeme steigt durch die Verfügbarkeit von Exploits nun weiter, und zwar nicht nur theoretisch. Bereits vor einigen Tagen hatten andere Sicherheitsforscher vermeldet, dass sie auf ihren als "Honeypot" ausgelegten Systemen – also Rechner, die bewusst mit der Lücke ins Netz gestellt wurden aber keine relevanten Daten erhalten – erste Angriffe gegen den betreffenden Bug verzeichnet haben. Das war für jene, die jetzt den Proof-of-Concept-Code veröffentlicht haben, auch der Grund für die Freigabe. Die Geheimhaltung bringe angesichts der ohnehin schon vorhandenen Exploits anderer nichts mehr.

Zentrale Software

Die Software von Citrix kommt weltweit bei mehr als 400.000 Organisationen zum Einsatz, darunter auch bei 98 Prozent der Top 500 in der Fortune-Liste. Auch Regierungsstellen und militärische Einrichtungen setzen oftmals auf die Dienste des Unternehmens. (Andreas Proschofsky, 13.1.2020)