Kurz vor Weihnachten, am 23. hatte ein IT-Sicherheitsexperte eine kritische Lücke der Fernzugriffssoftware von Citrix entdeckt und diese veröffentlicht. Einen Tag später verschickte Citrix selbst eine Warnung, in der man unter anderem eine Übergangslösung für die betroffene Software empfahl. Viel passiert sei seitdem nichts – wohl auch wegen des ungünstigen Zeitpunkts um die Feiertage, schreibt der SWR. Dessen Reporter fanden die Schwachstelle immer noch auf mehr als 2000 deutschen Servern, nachdem am Freitag Unbekannte im Netz erklärten, wie Hacker die Sicherheitslücke ausnützen können, einen sogenannten Exploit-Code.
Die Süddeutsche Zeitung spricht von 2500 Unternehmens-Endpoints, die für den Angriff anfällig seien, weltweit liegt demnach die Zahl bei 25 000 Unternehmen. Betroffen sind laut SWR Krankenhäuser, Stadtwerke, Banken, Forschungseinrichtungen sowie mittlere Unternehmen und große Konzerne.
Was die Lücke anrichten kann
Mit der Software des US-Unternehmens lässt sich von außen die IT von Unternehmen nutzen. Zur Anwendung kommt sie bei Homeoffice, ausgelagerten Standorten oder bei Fernwartungen, so der SWR. Mitarbeiter können sich damit auf Systeme einwählen. Die Software gilt als eine der meistgenutzten Lösungen für den Fernzugriff auf lokale Netze.
Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) heißt es zum Schadenspotenzial auf deren Website: "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Citrix Systems NetScaler Gateway ausnutzen, um beliebigen Programmcode auszuführen." Eine großflächige Warnung allerdings blieb bisher von Seiten der Sicherheitsbehörde aus. Nach Recherchen von SWR sei die zuständige Behörde CERT-Bund beim BSI davon ausgegangen, dass es sich hier um einen Vorfall mit mittlerem Risiko handle. Mit der Veröffentlichung des Exploit-Codes würde nun das Risiko allerdings auf hoch gestuft.
Bislang noch 3338 verwundbare Netzbetreiber
Die veröffentlichte Anleitung vereinfache es Hackern nun, damit einen ersten Fuß in die Tür von Unternehmen zu bekommen, so der SWR. Für Angreifer sei es demnach mit einer selbstgeschriebenen Software quasi freien Zugang, der bis ins Innerste eines Netzwerkes gehen könne. "Wer sich also hierüber (die Citrix-Software) einlogge, habe oftmals vollen Zugang zu weiteren zentralen IT-Systemen eines Unternehmens, heißt es weiter. Laut eines in dem Artikel zitierten IT-Sicherheitsexperten müsse man lediglich zwei Anfragen an das System schicken, um die Schwachstelle auszunutzen.
CERT-Bund hat nach eigener Aussage 4957 verwundbare VPN-Gateways an deutsche Netzbetreiber gemeldet. Davon seien aktuell noch 3338 verwundbar, heißt es in einem Tweet vom 13. Januar. Ein IT-Sicherheitsexperte rät in der Süddeutschen Zeitung dazu, den Citrix-Patch so schnell wie möglich zu implementieren und sich dann auf die Veröffentlichung des offiziellen Citrix-Patches vorzubereiten. Dieser soll laut Hersteller am 20. Januar zur Verfügung stellen. (sg)
