Es fing eigentlich recht unspektakulär an: Mitte Dezember wurde eine Sicherheitslücke in einem Netzwerk-Balancer von Citrix gefunden (Netscaler bzw. Application Delivery Controller, ADC). Diese Software wird weltweit sowohl in Unternehmen eingesetzt als auch bei Netzbetreibern und sorgt dort für eine gleichmäßige Verteilung von Netzwerkauslastung, um Verzögerungen durch Lastspitzen zu vermeiden. So sind unter anderem Webdienste weniger anfällig für DDoS-Angriffe. Die Sicherheitslücke ermöglicht allerdings das Ausführen von beliebigen Anwendungen aus der Ferne und ist damit als hoch kritisch einzustufen.
Bis zum vergangenen Wochenende existierte jedoch noch kein Programmcode, mit dem man die Sicherheitslücke mit dem CVE-Code 2019-19781 hätte ausnutzen können. Daher beschränkten sich Kriminelle zunächst darauf, Systeme zu suchen, die potenziell angreifbar sind. Eine Gruppe, die sich „Project Zero India“ nennt (jedoch trotz des Namens mit Googles "Project Zero" nichts zu tun hat), hat dann einen Proof-of-Concept ins Netz gestellt, der sehr schnell aufgegriffen wurde. Ein Angriff sei mit relativ wenig Aufwand durchführbar, wie es auf ZDNet heißt. Experten sprechen von einer der gefährlichsten Sicherheitslücken der letzten Jahre.
Die Art und Weise, wie nationale CERTs (Cyber Emergency Response Teams) über die Schwachstelle informieren, zeichnet ein klares Bild: Die inzwischen auf den Namen "Shitrix" getaufte Sicherheitslücke stellt eine sehr ernstzunehmendes Gefahr dar. Das deutsche CERT-BUND schlägt Alarm und hat bereits knapp 5000 Betreiber über die Schwachstelle informiert und. gebeten, diese schnellstmöglich zu beheben. Unter den Informierten finden sich auch Betreiber kritischer Infrastrukturen wie Krankenhäuser, Energieversorger oder Behörden.
Die Sicherheitslücke erlaubt den Zugriff auf die Verzeichnisstruktur eines angreifbaren Systems; es ist keine Authentifizierung erforderlich, sodass ein Angriff aus der Ferne durch eine speziell präparierte Anfrage an das System erfolgen kann. Unternehmen sollten ihre Systeme prüfen und die empfohlenen Maßnahmen umgehend umsetzen.
Da Citrix ADC weltweit von sehr vielen Unternehmen und Netzanbietern genutzt wird, dauerte es nicht lange, bis Angreifer damit begannen, nach verwundbaren Systemen zu suchen. Citrix stellt nach Bekanntwerden schnell eine Liste von Sofortmaßnahmen für Betreiber betroffener Systeme zusammen und rät dringend dazu, diese umzusetzen. Eine gesicherte Version von Citrix ADC wird in Kürze erwartet – die aktuellsten Informationen sind ebenfalls auf der Citrix-Webseite zusammengetragen, inklusive der Daten, an denen Patches zur Verfügung stehen werden.
Update 21.01.2020, 08:30 Uhr: Erste Patches verfügbar
Wie angekündigt hat Citrix die ersten Patches für die Sicherheitslücken veröffentlicht. Auf den entsprechenden Webseiten sind die Patches für die ADC-Versionen 11.1.63.15 sowie 12.0.63.13 verfügbar. Die nächsten Patches sind für den 24. Januar (Freitag) geplant.