Kleiner Schnipsel, wie der Begriff 'Sicherheit' bei den großen US Cloud-Providern geschrieben und gelebt wird. Es geht um die gemeldete Sicherheitslücke CVE-2019-19781 und wie sich die drei großen Namen Amazon, Google und Microsoft aus der US-Cloud-Anbieter-Szene um das Thema gekümmert haben. Lust, auf ein kleines Experiment bzw. eine Umfrage, bei dem ihr nur reinfallen könnt? Wer will eine Prognose abgeben, ob und falls ja, wer da reagiert hat? Dann schreibt einen Namen auf ein Stück Papier, bevor ihr weiter lest.
Anzeige
Bei der Schwachstelle CVE-2019-19781 geht es um Citrix ADC (Netscaler)-Sicherheitslücke, die ja zum Jahresende 2019 öffentlich wurde. Da Citrix erst Ende Januar 2020 Firmware-Updates herausbrachte, wurden einige Behörden und Firmen über diese Schwachstelle gehackt. In den Artikeln am Ende des Beitrags gibt es näheres.
Wie reagieren Amazon, Google und Microsoft?
Szenenwechsel: Es gibt einen Bericht zur Schwachstelle, der die Cloud-Anbieter Amazon, Google und Microsoft interessieren sollte. Was glaubt ihr, hat wer von den drei genannten reagiert und Details zur Schwachstelle angefordert sowie Kunden informiert? Kleiner Tipp: Einer der genannten hat reagiert. Habt ihr eine eigene Prognose abgegeben?
Ich bin gerade auf nachfolgenden Tweet von Bad Packets Report gestoßen. Der Kopf hinter dem Twitter-Konto fragt seine Follower, wer von den drei genannten Cloud-Providern wohl eine Kopie der Details (es geht wohl um Scans) zur Schwachstelle CVE-2019-19781 angefordert und im Nachgang seine Kunden informiert hat:
Only one major cloud provider requested a copy of our CVE-2019-19781 report – and subsequently notified their impacted customers.
Which one do you think it was?
— Bad Packets Report (@bad_packets) February 8, 2020
Anzeige
Die Auswertung der Abstimmung ist interessant, umfasst sie doch aktuell 864 Teilnehmer, eine ganze Menge.
- Amazon halten 31 % der Nutzer für die Firma, die nachgefragt und ihre Kunden informiert hat.
- Google wird misstraut, die bekommen nur 22 % der Wertungen.
- Der Vertrauensspitzenreiter ist aber Microsoft, die 47 % der Stimmen einheimsen konnten.
Letzteres ist ja auch kein Wunder: Microsoft hört auf seine Kunden und ist unermüdlich rund um die Uhr für die Leute da. Außerdem ist Microsoft ja in den Betrieben allgegenwärtig mit seinem Produkten. Da gibt es ein Urvertrauen, was natürlich gewachsen ist. Da kratzen höchsten so Stinkstiefel wie meine Wenigkeit dran herum.
Die schnöde Wahrheit ist grausam
Ich gestehe, ich wusste nicht, wie die Wahrheit ausschaut, als ich die Auswertung der Umfrage aus obigem Tweet gesehen habe. Aber es macht mir gerade eine diebische Freude, die Antwort in nachfolgendem Tweet zu liefern.
It was Amazon. AWS Security acknowledged our initial CVE-2019-19781 report on January 13 and requested our follow-up scan results on February 3.
During this time, they notified impacted AWS customers (https://t.co/skHP2TklQp) and advised them how to upgrade to fix versions. https://t.co/lGQR24A1M9
— Bad Packets Report (@bad_packets) February 9, 2020
Amazon hat tatsächlich nachgehakt, den Scan mit den verwundbaren Systemen analysiert, die betroffenen AWS-Kunden ermittelt und diese dann informiert (siehe pastebin). Gut, sagt noch nichts über die tatsächliche Sicherheit aus. Aber ein Schlaglicht wirft die Episode schon auf die drei genannten US Cloud-Anbieter – vielleicht mal drüber nachdenken, wie viel Vertrauensvorschuss man deren Marketing-Sprüchen schenkt und warum.
Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ragnarok Ransomware zielt auf Citrix ADC, stoppt Defender
Ransomware-Befall beim Automobilzulieferer Gedia
Cyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?
Anzeige
Zitat:
"Dear Sir or Madame,
I am writing to provide information concerning the Citrix ADC / Citrix Gateway vulnerability for which Citrix issued a mitigation in December.
Our research performed on 1/14/2020 at xx:yy PM PST, has indicated that your company currently has Citrix equipment open to the internet to which the suggested mitigation has not been applied. That equipment has the following identifier(s):
aaa.bbb.ccc.ddd:443—eee.fff.ggg.hhh:443
In order to protect against this vulnerability, we strongly recommend applying the mitigation immediately and following all steps as described in the CVE Report if not already applied.
Additionally, we have made available a tool that may be used to check whether specific Citrix ADC /Citrix Gateway equipment has applied the mitigation. The tool is available on Citrix Support Website at https://support.citrix.com/article/CTX269180.
We anticipate issuing a patch in accordance with the schedule published in this Citrix Blog. We strongly suggest applying the patch as soon as possible following release.
Please contact us through Citrix Support, or email us at secure@citrix.com if you have any questions.
Sincerely,
Citrix Security
*Please note the product and service security updates are not marketing communications and are not subject to 'opt-out' "
Zitatende.
Wozu brauche ich da noch eine Information von Microsoft, Amazon oder Google?
Citrix hat selbst gescannt und informierte seine Kunden!
Schön und gut – unsere Altvordern wussten – lange vor dem modernen Zeugs 'doppelt gemoppelt hält besser'. Und der Beitrag sollte ein Schlaglicht auf 'gefühlte Gewissheiten' werfen ;-).