FireEye: Hacker sichert sich exklusiven Zugang zu anfälligen Citrix-Produkten

FireEye warnt vor neuen Angriffen auf Citrix-Produkte, die von einer kurz vor Weihnachten bekannt gewordenen Zero-Day-Lücke betroffen sind. Mindestens ein Hacker versucht derzeit die Kontrolle über anfällige Citrix-Server zu übernehmen, indem er sich einen exklusiven Zugang zu den Geräten sichert und Attacken von anderen Angreifern abwehrt.

Der Hacker greift Citrix-Geräte aus dem Tor-Netzwerk heraus an. Er schleust dabei eine Schadsoftware ein, die FireEye als NotRobin bezeichnet. Sie soll zwei Aufgaben erfüllen: ein Hintertür zu der Citrix-Appliance einrichten und jegliche vorhandene andere Malware entfernen sowie Angriffe mit weiterer Malware auf den anfälligen Citrix-Host verhindern.

Unklar ist demnach, ob der Hacker gute oder böse Absichten verfolgt – wobei FireEye vermutet, dass es sich eben nicht um einen „modernen Robin Hood“, sondern einen Bösewicht handelt. Die Forscher gehen davon aus, dass jemand heimlich Zugänge zu NetScaler-Geräten sammelt, um sie bei einer künftigen Kampagne einzusetzen.

Seit rund einer Woche steht Cyberkriminellen Beispielcode für Exploits zur Verfügung, mit denen sich die Anfälligkeit mit der Kennung CVE-2019-19781 angreifen lässt – zumal Citrix der Bug schon länger bekannt ist. Das Unternehmen konnte bisher allerdings fast nur mit einer Behelfslösung reagieren, die inzwischen als zumindest teilweise wirkungslos eingestuft wird.

So rät die niederländische Cybersicherheitsbehörde NCSC Firmen und Organisationen seit Ende vergangener Woche, die betroffenen Citrix Application Delivery Controller und Citrix Gateway abzuschalten. Zuvor mussten ein Krankenhaus in Leeuwarden sowie die Gemeinde Zutphen nach Attacken auf Citrix-Produkte ihre Netzwerke vollständig und für mehrere Tage abschalten.

In einem gestern veröffentlichten Update für sein Security Advisory nennt Citrix nun auch einen Zeitplan für die Bereitstellung von Patches. So werden sei Sonntag die neuen Firmwareversionen 11.1.63.15 und 12.0.63.13 für Citrix ADC und Citrix Gateway verteilt. Am 24. Januar sollen Patches für die Versionen 10.5, 12.1 und 13.0 folgen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Lernsoftware BRAINIX erhöht Aufmerksamkeit

Schultests an drei bayerischen Gymnasien haben ergeben, dass die Lernsoftware BRAINIX die Aufmerksamkeit der Schülerinnen…

1 Stunde ago

Microsoft Edge erhält neue Sicherheitsfunktionen

Microsoft rollt die Version 88 seines auf Chromium basierenden Edge-Browsers in den Stable-Channel aus, also…

3 Stunden ago

IBM und Daimler erzielen Durchbruch mit Quantumcomputern

Ein interdisziplinäres Forschungsteam von IBM, Mercedes Benz Research sowie Virginia Tech hat es geschafft, mit…

5 Stunden ago

Sophos deckt Kryptominer auf

Sophos hat Beweise gefunden, dass der Betreiber des MrbMiner Krypto-Mining-Botnets eine kleine Software-Entwicklungsfirma ist, die…

20 Stunden ago

Europa forciert digitale Impfpässe

Mehrere europäische Regierungen setzen auf digitale Impfpässe. Eine EU-weite Initiative scheint in Reichweite zu sein.

22 Stunden ago

Elastic setzt auf SSPL

Elastic bewegt sich weg von Open Source und setzt stattdessen auf die Server Side Public…

1 Tag ago