FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten

FireEye warnt vor neuen Angriffen auf Citrix-Produkte, die von einer kurz vor Weihnachten bekannt gewordenen Zero-Day-Lücke betroffen sind. Mindestens ein Hacker versucht derzeit die Kontrolle über anfällige Citrix-Server zu übernehmen, indem er sich einen exklusiven Zugang zu den Geräten sichert und Attacken von anderen Angreifern abwehrt.

Der Hacker greift Citrix-Geräte aus dem Tor-Netzwerk heraus an. Er schleust dabei eine Schadsoftware ein, die FireEye als NotRobin bezeichnet. Sie soll zwei Aufgaben erfüllen: ein Hintertür zu der Citrix-Appliance einrichten und jegliche vorhandene andere Malware entfernen sowie Angriffe mit weiterer Malware auf den anfälligen Citrix-Host verhindern.

Unklar ist demnach, ob der Hacker gute oder böse Absichten verfolgt – wobei FireEye vermutet, dass es sich eben nicht um einen „modernen Robin Hood“, sondern einen Bösewicht handelt. Die Forscher gehen davon aus, dass jemand heimlich Zugänge zu NetScaler-Geräten sammelt, um sie bei einer künftigen Kampagne einzusetzen.

Seit rund einer Woche steht Cyberkriminellen Beispielcode für Exploits zur Verfügung, mit denen sich die Anfälligkeit mit der Kennung CVE-2019-19781 angreifen lässt – zumal Citrix der Bug schon länger bekannt ist. Das Unternehmen konnte bisher allerdings fast nur mit einer Behelfslösung reagieren, die inzwischen als zumindest teilweise wirkungslos eingestuft wird.

So rät die niederländische Cybersicherheitsbehörde NCSC Firmen und Organisationen seit Ende vergangener Woche, die betroffenen Citrix Application Delivery Controller und Citrix Gateway abzuschalten. Zuvor mussten ein Krankenhaus in Leeuwarden sowie die Gemeinde Zutphen nach Attacken auf Citrix-Produkte ihre Netzwerke vollständig und für mehrere Tage abschalten.

In einem gestern veröffentlichten Update für sein Security Advisory nennt Citrix nun auch einen Zeitplan für die Bereitstellung von Patches. So werden sei Sonntag die neuen Firmwareversionen 11.1.63.15 und 12.0.63.13 für Citrix ADC und Citrix Gateway verteilt. Am 24. Januar sollen Patches für die Versionen 10.5, 12.1 und 13.0 folgen.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Fraunhofer HHI führt Videokodierstandard H.266/VVC ein

Das Fraunhofer Heinrich-Hertz-Institut (HHI) war wesentlich daran beteiligt, den neuen weltweiten Videokodierstandard H.266 / Versatile…

2 Stunden ago

So greift EKANS Ransomware kritische Infrastrukturen an

Sicherheitsexperten von Fortinet haben die EKANS Ransomware gründlich analysiert und zeigen auf, welche Angriffstechniken die…

3 Stunden ago

So wird IT zukunftssicher

IT und vor allem Unternehmensanwendungen verändern sich durch umfassende Digitalisierungen und Herausforderungen wie die Covid-19-Krise…

4 Stunden ago

AVM veröffentlicht FritzOS 7.20 für Fritzbox 7590

FritzOS 7.20 soll eine erhebliche Performancesteigerung bringen. Außerdem beinhaltet es Komfortfunktionen für das smarte Heimnetz,…

18 Stunden ago

Latenzen bei Online-Live-TV senken

Live-Fernsehen über das Internet stellt hohe Herausforderungen an die Latenz. Der Online-Zuschauer solle den Ausgang…

20 Stunden ago

Try2Cry: Neue Ransomware mit Wurm-Funktion infiziert Windows-Systeme

Sie kopiert sich auf Wechseldatenträger. Dort ersetzt Try2Cry alle gespeicherten Dateien durch LNK-Dateien mit deren…

23 Stunden ago