Es war eine Art "Worst Case" für die Nutzer von Citrix-Servern. Mitte Dezember tauchte eine Sicherheitslücke in der bei Unternehmen weit verbreiteten Software auf, die das Einschmuggeln und die Ausführung von Schadcode ermöglicht. Solche Lücken tauchen zwar auch bei anderen Programmen immer wieder auf, in diesem Fall konnte der Hersteller aber zunächst mit keinen Patches sondern nur mit Workarounds aufwarten. Die Konsequenz: Wochenlang standen weltweit zehntausende Server offen, darunter zuletzt auch mehrere hundert in Österreich.

Neue Situation

In den vergangenen Tagen hat sich die Situation nun gleichzeitig verbessert als auch verschärft. So hat die Zahl der Angriffe gegen die Lücke stetig zugenommen. Das besonders unerfreuliche dabei: In einzelnen Fällen sollen Angreifer dabei auch die Lücke selbst geschlossen aber gleichzeitig ein Backdoor auf betreffende Server eingebracht haben. Das macht es natürlich auch von außen schwerer, einschätzen zu können, welche Systeme nun wirklich gesichert – und welche übernommen wurden. Die Idee hinter dieser Maßnahme ist eine recht simple: Es geht darum selbst einen langfristigen Zugriff auf das betreffende Systeme zu sichern, und gleichzeitig andere Angreifer auszusperren.

Update

Auf der anderen Seite hat Citrix es mittlerweile geschafft, die ersten Updates auszuliefern. Mit den Versionen 11.1.63.15 und 12.0.63.13 wird die Lücke im Application Delivery Controller (ADC) geschlossen. Fehlerbereinigte Versionen für andere AD-Versionen und die SD-WAN WANOP Appliance sollen am 24. Jänner folgen.

Reaktion

Administratoren sollten die entsprechenden Updates angesichts der hohen Gefährdungsstufe so schnell wie möglich einspielen – auch wenn sie die bisherigen Workarounds genutzt haben. (red, 21.1.2020)