{"id":227410,"date":"2020-01-24T16:03:36","date_gmt":"2020-01-24T15:03:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227410"},"modified":"2020-01-27T23:45:35","modified_gmt":"2020-01-27T22:45:35","slug":"cyberangriffe-das-shitrix-desaster-citrix-netscaler-bug","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/24\/cyberangriffe-das-shitrix-desaster-citrix-netscaler-bug\/","title":{"rendered":"Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?"},"content":{"rendered":"

[English<\/a>]Gut, die 'smoking Gun' fehlt mir noch. Aber es kristallisiert sich heraus, dass die Cyberangriffe auf Gedia & Potsdam, die ich in den letzten Stunden hier im Blog berichtet habe, \u00fcber die Shitrix-Schwachstelle im Citrix ADC (Netscaler) m\u00f6glich waren. Erg\u00e4nzung:<\/strong> Weitere Kommunen wie die Stadt Brandenburg sind auch betroffen.<\/p>\n

<\/p>\n

Was ist die Shitrix-Schwachstelle?<\/h2>\n

\"\"Im Citrix ADC (Application Delivery Controller, fr\u00fcher Netscaler) wurde am 17. Dezember 2019 die Schwachstelle CVE-2019-19781 bekannt, f\u00fcr die es keinen Patch gab. Ich hatte zeitnah am 24. Dezember im Beitrag Schwachstelle in Citrix Produkten gef\u00e4hrdet Firmen-Netzwerke<\/a> dar\u00fcber berichtet. Von Citrix wurde ein Workaround ver\u00f6ffentlicht, mit dem Administratoren ihre Citrix-Appliances gegen die Ausnutzung der Schwachstelle abdichten mussten.<\/p>\n

Weihnachten haben Admins Urlaub<\/h3>\n

Da das alles kurz vor Weihnachten passierte, haben viele Administratoren das wohl nicht mehr mitbekommen. Hier im Blog hatte ich das in einem Sicherheits-Sammelbeitrag Sicherheitsinformationen (3.1.2020)<\/a> direkt zum Start des neuen Jahres nochmals hochgeholt.<\/p>\n

Keine Reaktion allerorten<\/h3>\n

Als in der 2. Januar-Woche des Jahres 2020 Proof of Concept (PoC) Exploits vorlagen, um die Schwachstelle auszunutzen \u2013 und Honeypots bereits angegriffen wurden \u2013 war es f\u00fcr einige Leute bereits zu sp\u00e4t. Ich hatte zwar erneut vor der Schwachstelle gewarnt (siehe Exploit f\u00fcr Citrix ADC\/Netscaler-Schwachstelle CVE-2019-19781<\/a>). Aber mir war bei heise ein Kommentar unter die Augen gekommen, wo jemand schrieb, dass bereits bei 7 Kunden in die Netscaler eingebrochen wurde. Trotzdem wurden allein in Deutschland \u00fcber 2.000 Netscaler weiterhin angreifbar per Internet betrieben.<\/p>\n

\n

Over 25,000 Citrix (NetScaler) endpoints vulnerable to CVE-2019-19781 (via @bad_packets<\/a>)https:\/\/t.co\/Q8BfxZZLHo<\/a> pic.twitter.com\/BJA7mEtVYM<\/a><\/p>\n

\u2014 Catalin Cimpanu (@campuscodi) January 12, 2020<\/a><\/p><\/blockquote>\n