Hacker suchen vermehrt nach Citrix-Servern mit bekannter Zero-Day-Lücke

Forscher registrieren in ihren Honeypots immer häufiger Scans nach anfälligen Citrix-Produkten. Cyberkriminelle verfügen aber offenbar noch nicht über einen funktionsfähigen Exploit. Nutzer warten indes weiter auf die Veröffentlichung eines Patches.

Die vor Weihnachten gemeldete schwere Sicherheitslücke in Citrix-Produkten zieht offenbar immer häufiger Hacker an. Forschern zufolge suchen Cyberkriminelle nun vermehrt nach Servern, die sie über die Schwachstelle mit der Kennung CVE-2019-19781 angreifen können.

Motivfoto Hacker (Bild: Shutterstock)Die Zero-Day-Lücke betrifft den Citrix Application Delivery Controller (ADC) sowie das Citrix Gateway. Schätzungsweise 80.000 Firmen in 158 Ländern nutzen ADC und sind somit potenzielle Angriffsziele – die meisten davon in den USA, Großbritannien, den Niederlanden, Australien und Deutschland.

Bleeping Computer berichtet nun, dass Forscher wie Kevin Beaumont immer öfter beispielsweise über spezielle Honeypots Angriffsversuche registrieren. So sollen Hacker unter anderem versuchen, vertrauliche Konfigurationsdateien für die Anmeldung zu stehlen. Allerdings soll bisher noch kein Exploit Code für die Sicherheitslücke öffentlich verfügbar sein.

So stellte Johannes Ullrich, Sicherheitsforscher beim SANS Institute, bei der Analyse seiner Honeypots fest, dass die aktuellen Scans noch sehr rudimentär sind. Oftmals seien es einfache GET-Anfragen. Von ihm als zuverlässig eingestufte Quellen wollen indes einen Exploit entwickelt haben, der eine Remotecodeausführung erlaubt.

Bisher steht noch kein Patch für die Anfälligkeit zur Verfügung. Citrix rät seinen Kunden dringend, die bisher angebotenen Behelfslösungen umzusetzen und sich auf ein Update für die Appliance Firmware vorzubereiten, um dieses nach der Veröffentlichung sofort zu installieren.

Dieser Empfehlung scheinen allerdings nicht alle Betroffenen gefolgt zu sein. So ergaben Scans vom Tripwire-Mitarbeiter Craig Young, dass bisher weniger als ein Drittel der angreifbaren Citrix NetScaler vor Attacken per CVE-2019-19781 geschützt seien, darunter auch Citrix-Server, die von US-Behörden betrieben werden. Derzeit verhindere nur die Tatsache, dass nur wenige Menschen genug über die Sicherheitslücke, um einen zuverlässigen Exploit zu erstellen, Angriffe auf diese Systeme.

In dem Zusammenhang kritisierte Young nun auch Googles Entscheidung, Details zu Sicherheitslücken grundsätzlich nach Ablauf von 90 Tagen zu veröffentlichen. „Wenn die Entdecker der Schwachstelle mit Veröffentlichung des Advisory von Citrix alle Details preisgegeben hätten, hätte das für viele Firmen gravierende Folgen gehabt. Ich persönlich glaube, dass Regeln für die Veröffentlichung von Schwachstellen flexibel sein müssen, um sich an reale Bedingungen anpassen zu können.“ Flexibilität habe indes Google viel Kritik eingebracht und den Eindruck von Bevorzugung und Ungleichbehandlung erweckt.

WEBINAR

HPE ProLiant Gen10 Plus Server mit AMD EPYC-Prozessoren der 2. Generation

Neben der herausragenden Performance bieten die neuen HPE ProLiant Gen10 Plus Server mit AMD® EPYC™ Prozessoren der 2. Generation auch in Sachen Sicherheit einzigartige Features: HPEs Silicon Root of Trust ermöglicht zusammen mit dem AMD Secure-Processor einen sicheren Systemstart, Arbeitsspeicherverschlüsselung und sichere Virtualisierung. Erfahren Sie in diesem Webinar, wie Sie von der überlegenen Leistung der HPE Server profitieren.

Themenseiten: Citrix, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker suchen vermehrt nach Citrix-Servern mit bekannter Zero-Day-Lücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *