Proof-of-Concept-Code für Zero-Day-Lücke in Citrix-Produkten veröffentlicht

Seit Ende vergangener Woche ist der Druck auf Citrix gestiegen, zeitnah einen Patch für die kritische Zero-Day-Lücke zu veröffentlichen, die Angriffe aus der Ferne auf den Citrix Application Delivery Controller und das Citrix Gateway ermöglicht. Mehrere Sicherheitsforscher haben unabhängig voneinander in der Nacht von Freitag auf Samstag Beispielcode für einen Exploit für die auch als Shitrix bezeichnete Schwachstelle veröffentlicht.

Die Anfälligkeit mit der Kennung CVE-2019-19781 ist seit mehreren Wochen bekannt. Sie wird als einer der schwerwiegendsten Sicherheitslücken der vergangenen Jahre eingestuft. Ein Angreifer kann ohne vorherige Anmeldung und lediglich mit einer speziell gestalteten Anfrage Schadcode einschleusen und auf einem anfälligen Citrix-Produkt ausführen.

Entdeckt wurde der Bug von Mikhail Klyuchnikov vom britischen Sicherheitsanbieter Positive Technologies. Er schätzte im Dezember die Zahl der Firmen, die ein anfälliges Citrix-Produkt einsetzen, auf mehr als 80.000. Tripwire-Mitarbeiter Craig Young kam bei einer eigenen Analyse in der vergangenen Woche zwar auf eine geringere Zahl – er fand angreifbare Citrix-Produkte jedoch auch bei mehreren US-Behörden.

Am späten Freitag veröffentlichten schließlich Forscher, die sich selbst Project Zero India nennen, ein Skript auf GitHub, mit dem es möglich sein soll, die Schwachstelle auszunutzen. Wenige Stunden später folgte das Team von TrustedSec mit eigenem Beispielcode. Die Forscher von TrustedSec hatten ihr Skript schon Anfang der Woche entwickelt, sich aber geweigert, den Proof-of-Concept öffentlich zu machen.

„Wir veröffentlichen das nur, weil andere zuerst den Exploit-Code freigegeben haben“, teilten TrustedSec auf GitHub mit. Sie hätten gehofft, den Code länger zurückhalten zu können, um Betroffenen mehr Zeit zu geben, ihre Systeme zu patchen. Sie hoffen nun, dass Unternehmen ihren Code nutzen, um anfällige Geräte in ihren Systemen zu finden, und um zu überprüfen, ob die von Citrix vorgeschlagenen Behelfslösungen korrekt umgesetzt wurden.

Von Citrix steht nämlich weiterhin kein Patch zur Verfügung. Das Unternehmen schlägt lediglich Konfigurationseinstellungen vor, mit denen Angriffe auf die anfälligen Produkte abgewehrt werden können. Allerdings warnten schon in der vergangenen Woche mehrere Forscher vor Hackern, die aktiv nach angreifbaren Citrix-Produkten suchen. Zu dem Zeitpunkt erklärten Forscher aber auch, dass nur das Fehlen von Beispielcode Angriffe auf Citrix ADC und Citrix Gateway verhindere.

Diese Hürde könnten Cyberkriminelle nun nach der Veröffentlichung des Proof-of-Concept-Codes wahrscheinlich nehmen. Citrix-Kunden, die die Behelfslösungen noch nicht umgesetzt haben, sollten dies nun möglicherweise nachholen. Denn bisher sagt das Unternehmen zu, einen Patch bis Ende des Monats zu veröffentlichen.

WEBINAR

BlackBerry Intelligent Security - Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Erfahren Sie in diesem Webinar, wie Sie die Vorteile von BlackBerry Intelligent Security in Ihrem Unternehmen voll ausschöpfen. Dazu zählen etwa eine höhere Endgerätesicherheit, ein verbesserter Bedienkomfort sowie eine erhöhte Produktivität bei reduzierten Kosten.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Supercomputer Hawk mit 11.260 AMD-Prozessoren geht in Betrieb

Das Höchstleistungsrechenzentrum in Stuttgart (HLRS) hat heute offiziell den Supercomputer Hawk in Betrieb genommen. Der Großrechner stammt von Hewlett Packard…

1 Tag ago

BlackBerry: Automobilindustrie und Einzelhandel sollten sich auf mehr Bedrohungen einstellen

Der Anstieg von Angriffen in der Automobilindustrie werde durch die fortschreitende Vernetzung der PKWs begünstigt. Das ist das Ergebnis des…

1 Tag ago

Telekom blickt auf ein Rekordjahr zurück

Der Konzern erzielt 2019 einen Umsatz von 80,5 Milliarden Euro, was einem Anstieg gegenüber dem Vorjahr um 6.4 Prozent entspricht.…

1 Tag ago

Dell will RSA Security an Symphony Technology Group verkaufen

Dieser Schritt soll das Portfolio von Dell vereinfachen und der RSA ermöglichen, sich auf ihre Kernaufgabe im Bereich Sicherheit zu…

2 Tagen ago

Webinar: BlackBerry Intelligent Security – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Die meisten Unified Endpoint Management Produkte platzieren Richtlinien auf einem Gerät oder in einer Anwendung nach eng umrissenen Vorgaben. Entscheidend…

2 Tagen ago

Deutschland vor Hybrid-Cloud-Welle

Interessant sind die Ergebnisse des Enterprise Cloud Index 2019 für Deutschland. Denn die hiesigen Entwicklungen zeigen: Nicht jede App soll…

2 Tagen ago