{"id":7359,"date":"2020-01-30T11:14:37","date_gmt":"2020-01-30T10:14:37","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=7359"},"modified":"2025-12-17T13:05:24","modified_gmt":"2025-12-17T12:05:24","slug":"citrix-sicherheitsluecke-dringender-handlungsbedarf-fuer-unternehmen","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/citrix-sicherheitsluecke-dringender-handlungsbedarf-fuer-unternehmen\/","title":{"rendered":"Citrix Sicherheitsl\u00fccke \u2013 Dringender Handlungsbedarf f\u00fcr Unternehmen"},"content":{"rendered":"<p>Mitte Dezember 2019 wurde eine Sicherheitsl\u00fccke in der Fernwartungssoftware Citrix entdeckt, die es Angreifern erlaubt, auf das lokale Netzwerk eines Unternehmens zuzugreifen. Tausende Rechner deutscher Unternehmen sind seitdem gef\u00e4hrdet. Hinzu kommt, dass im Netz bereits diverse Anleitungen kursieren, die es selbst Personen mit geringen IT-Kenntnissen erm\u00f6glichen, Zugang zu Servern von Unternehmen zu bekommen und dort sch\u00e4dlichen Code auszuf\u00fchren.<\/p>\n<h2>Citrix schafft den digitalen Arbeitsplatz<\/h2>\n<p>Gemeinsam mit Microsoft stellt <a href=\"https:\/\/www.citrix.com\/de-de\/products\/\" target=\"_blank\" rel=\"nofollow noopener\">Citrix<\/a> Cloud-L\u00f6sungen f\u00fcr einen sicheren digitalen Arbeitsplatz zur Verf\u00fcgung. Der digitale Arbeitsplatz aus der Cloud mit Office365 und Citrix on Microsoft Azure ist in Unternehmen weit verbreitet: Krankenh\u00e4user, Beh\u00f6rden, Finanz- und IT-Unternehmen nutzen Citrix-Anwendungen als VPN-Client, um ihren Mitarbeitern von jedem Ger\u00e4t aus \u00fcber das Internet den Terminalzugriff auf unternehmensinterne Anwendungen und damit das Arbeiten von Zuhause aus zu erm\u00f6glichen.<\/p>\n<p>Vereinfacht erkl\u00e4rt, k\u00f6nnen sich Mitarbeiter im Homeoffice \u00fcber Citrix auf die Softwareanwendungen ihres Unternehmens einw\u00e4hlen und damit genauso arbeiten, wie sie es von einem Rechner am Arbeitsplatz tun w\u00fcrden. An und f\u00fcr sich also ein mehr als praktisches Werkzeug in Zeiten der Digitalisierung. Was aber eigentlich f\u00fcr einen sicheren Zugriff auf Unternehmensanwendungen sorgen soll, wird pl\u00f6tzlich selbst zur Sicherheitsl\u00fccke.<\/p>\n<h2>Zero-Day-L\u00fccke erm\u00f6glicht Angriffe auf den Citrix Application Delivery Controller und das Citrix Gateway<\/h2>\n<p>Mitte Dezember kam es n\u00e4mlich zu so etwas wie einem Super-GAU: In zahlreichen Citrix-Produkten wurde eine Schwachstelle aufgedeckt, \u00fcber die Angreifer auf das lokale Netzwerk eines Unternehmens zugreifen k\u00f6nnen. Entdeckt wurde der Bug \u00fcbrigens von Mikhail Klyuchnikov, Mitarbeiter des britischen Sicherheitsanbieters Positive Technologies. Er sch\u00e4tzte die Zahl der Firmen weltweit, die ein anf\u00e4lliges Produkt einsetzen, im Dezember 2019 auf mehr als 80.000!<\/p>\n<h3>Der Hersteller selbst listet folgende Produkte auf, die von der Schwachstelle betroffen sind:<\/h3>\n<ul>\n<li>Citrix ADC und Citrix Gateway version 13.0<\/li>\n<li>Citrix ADC und NetScaler Gateway version 12.1<\/li>\n<li>Citrix ADC und NetScaler Gateway version 12.0<\/li>\n<li>Citrix ADC und NetScaler Gateway version 11.1<\/li>\n<li>Citrix NetScaler ADC und NetScaler Gateway version 10.5<\/li>\n<\/ul>\n<p>Demnach ist die L\u00fccke in den Produkten Citrix Application Delivery Controller (ADC) und Citrix Gateway enthalten. Bei ADC handelt es sich um eine Form von Load-Balancing-Appliance, um Webanwendungen verl\u00e4sslich zur Verf\u00fcgung zu stellen. Citrix Gateway soll sicheren Zugriff auf beispielsweise SaaS- und Webanwendungen garantieren. Die Software wird von Unternehmen und von Netzbetreibern eingesetzt und sorgt f\u00fcr eine gleichm\u00e4\u00dfige Verteilung von Netzwerkauslastung, um Verz\u00f6gerungen durch Lastspitzen zu vermeiden. Dadurch sind unter anderem Webdienste weniger anf\u00e4llig f\u00fcr DDoS-Angriffe.<\/p>\n<h2>BSI stuft Sicherheitsl\u00fccke \u201eShitrix\u201c als besorgniserregend ein<\/h2>\n<p>Die Sicherheitsl\u00fccke, die in IT-Sicherheitskreisen schnell den Codenamen \u201e<a href=\"https:\/\/www.security-insider.de\/shitrix-gefaehrdet-citrix-adc-und-netscaler-gateways-a-896182\/\" target=\"_blank\" rel=\"nofollow noopener\">Shitrix<\/a>\u201c erhielt, erm\u00f6glicht das Ausf\u00fchren von beliebigen Anwendungen aus der Ferne. Das Leck wurde von der amerikanischen IT-Sicherheitsbeh\u00f6rde NIST rasch als \u201ecritical\u201c eingestuft und auch der Pr\u00e4sident des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI), Arne Sch\u00f6nbohm, reagierte alarmiert: \u201eDie Sicherheitsl\u00fccken in Programmen des US-Softwareherstellers Citrix sind besorgniserregend\u201c, so Sch\u00f6nbohm in der \u201eRheinischen Post\u201c.<\/p>\n<p>Datenreporter vom SWR haben die Schwachstelle Mitte Januar 2020 auf \u00fcber 2000 deutschen Servern gefunden: Krankenh\u00e4user, Bundes- und Landesbeh\u00f6rden, Kommunen, Kraftwerksbetreiber, Stadtwerke, Banken, Forschungseinrichtungen sowie mittlere Unternehmen und gro\u00dfe Konzerne sind dabei gleicherma\u00dfen betroffen. Diese Schwachstelle erm\u00f6glicht es Angreifern, mithilfe von pr\u00e4parierten HTTP-\/HTTPS-Anfragen aus den \u00f6ffentlich zug\u00e4nglichen Verzeichnissen der Webanwendung auszubrechen und auf interne Verzeichnisse zuzugreifen. Dies kann dazu f\u00fchren, dass Angreifer Konfigurationsdateien auslesen, Dateien ablegen oder manipulieren oder eigenen Code ausf\u00fchren.<\/p>\n<h2>Forscherteams ver\u00f6ffentlichen Exploit Proof-of-Concept<\/h2>\n<p>Anstatt allerdings umgehend einen Patch zur Verf\u00fcgung zu stellen, schlug Citrix lediglich Konfigurationseinstellungen vor, mit denen Angriffe auf die anf\u00e4lligen Produkte abgewehrt werden k\u00f6nnen. Wie unter anderem die Nachrichten-Website heise online unter Berufung auf Citrix Mitte Januar mitteilte, sollen Admins demnach ihre Systeme mit einem Workaround absichern! Das Problem: Der Workaround funktioniert nicht bei Citrix ADC Release 12.1 mit den \u00e4lteren Firmwareversionen als 51.16\/51.19 und 50.31. Wer diese Versionen einsetzt, sollte upgraden und anschlie\u00dfend den Workaround durchf\u00fchren.<\/p>\n<p>W\u00e4hrend der Druck auf das Unternehmen bis Mitte Januar immer weiter stieg, doch zeitnah einen Patch f\u00fcr die kritische Zero-Day-L\u00fccke zu ver\u00f6ffentlichen, haben zwei Forscherteams unabh\u00e4ngig voneinander Beispielcode f\u00fcr einen Exploit f\u00fcr die Schwachstelle ver\u00f6ffentlicht. Am 10. Januar ver\u00f6ffentlichten Forscher, die sich selbst Project Zero India nennen, einen Programmcode auf GitHub, mit dem sich die Schwachstelle ausnutzen und ein Angriff mit relativ wenig Aufwand durchf\u00fchren lassen soll.<\/p>\n<p>Nur wenige Stunden sp\u00e4ter folgte das Team von TrustedSec mit einem eigenen Beispielcode. Die Forscher von TrustedSec hatten ihr Skript nach eigenen Angaben schon einige Tage zuvor entwickelt, sich jedoch geweigert, den Proof-of-Concept \u00f6ffentlich zu machen. Urspr\u00fcnglich wollten sie den Code noch zur\u00fcckhalten, damit Betroffene Zeit haben, ihre Systeme zu patchen. Mit der Ver\u00f6ffentlichung des Codes hofften sie schlie\u00dflich, dass Unternehmen ihn nutzen k\u00f6nnten, um anf\u00e4llige Ger\u00e4te in ihren Systemen zu finden und anschlie\u00dfend dahingehend zu pr\u00fcfen, ob die von Citrix vorgeschlagenen Konfigurationseinstellungen richtig umgesetzt wurden.<\/p>\n<h3>Citrix ver\u00f6ffentlicht Sicherheits-Patches<\/h3>\n<p>Am 19. Januar ver\u00f6ffentlichte Citrix nun endlich die ersten <a href=\"https:\/\/stadt-bremerhaven.de\/citrix-sicherheitsluecke-patches-fuer-adc-11-und-12-erschienen\/\" target=\"_blank\" rel=\"noopener\">Patches<\/a> f\u00fcr Citrix ADC 11.1 und 12.0 sowie Citrix Gateway. Weitere Updates f\u00fcr Application Delivery Controller 10.5, 12.1, 13 folgten am 22., 23. und 24. Januar. Inzwischen wurde auch Citrix SD-WAN WANOP gepatcht.<\/p>\n<p>Wir k\u00f6nnen Ihnen hier nur dringend an Herz legen, die Sicherheits-Patches z\u00fcgig zu installieren, um Ihre Systeme vor Angriffen zu sch\u00fctzen. Die schlechten Nachrichten rei\u00dfen n\u00e4mlich nicht ab: Wie der Online-Dienst ZDNet am Montag, 27. Januar, berichtete, haben Angreifer zwischenzeitlich bereits aktiv nach verwundbaren Systemen gesucht, mit dem Ergebnis, dass sich mindestens zwei Ransomware-Kampagnen gegen ungepatchte Citrix-Produkte richteten. Andere Hacker sollen Citrix-Ger\u00e4te kapern und die Zug\u00e4nge in Foren anbieten.<\/p>\n<p>Aber zur\u00fcck zu den Sicherheitsupdates: Wie Citrix mitteilt, gelten die Patches auch f\u00fcr Citrix ADC und Citrix Gateway Virtual Appliances (VPX), die auf ESX, Hyper-V, KVM, XenServer, Azure, AWS, GCP oder einer Citrix ADC Service Delivery-Appliance (SDX) gehostet werden. SVM unter SDX muss nicht aktualisiert werden.<\/p>\n<h3>Sicherheits-Patches installieren und Systeme inspizieren<\/h3>\n<p>Um die Sicherheits-Patches zu installieren, ist es erforderlich, zun\u00e4chst alle Citrix ADC- und Citrix Gateway 11.1-Instanzen (MPX oder VPX) und alle Citrix ADC- und Citrix Gateway 12.0-Instanzen (MPX oder VPX) zu aktualisieren.<\/p>\n<p>Sobald Sie die Patches installiert haben, inspizieren Sie die Systeme bitte gr\u00fcndlich, denn es gibt erste Berichte von FireEye (https:\/\/www.fireeye.com\/blog\/threat-research\/2020\/01\/vigilante-deploying-mitigation-for-citrix-netscaler-vulnerability-while-maintaining-backdoor.html), nach denen Angreifer bereits Hintert\u00fcren eingerichtet haben: \u00dcber das Schlupfloch schieben Angreifer zu sp\u00e4teren Zeitpunkten beispielsweise Krypto-Miner und Erpressungstrojaner auf Systeme.<\/p>\n<h3>Gehackte Systeme aufsp\u00fcren<\/h3>\n<p>Citrix und der Anbieter von Netzwerksicherheits-Software FireEye bieten ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern pr\u00fcfen k\u00f6nnen, ob Ihre Appliances bereits gehackt wurden. Dieser Scanner wurde auf GitHub ver\u00f6ffentlicht (https:\/\/github.com\/citrix\/ioc-scanner-CVE-2019-19781\/releases) und l\u00e4sst sich lokal starten. Es scannt Appliances nacheinander und tr\u00e4gt Indicators of Compromise (IOC) zusammen. W\u00e4hrend des Scans h\u00e4lt das Tool Ausschau nach forensischen Daten und pr\u00fcft beispielsweise Log-Dateien, ob es Zugriffe \u00fcber die als \u201ekritisch\u201c eingestufte Sicherheitsl\u00fccke (CVE-2019-19781) gibt oder gegeben hat.<\/p>\n<h2>Fazit<\/h2>\n<p>Patchen Sie Ihre Citrix-Anwendungen bitte schnellstm\u00f6glich. K\u00f6nnten Angreifer die Schwachstelle n\u00e4mlich erfolgreich ausnutzen, steht dem Zugriff auf Ihre Verzeichnisse nichts mehr im Weg. Anschlie\u00dfend k\u00f6nnten Dateien manipuliert und sogar Schadcode ausgef\u00fchrt werden.<\/p>\n<p>Die Sicherheitsupdates f\u00fcr alle betroffenen Systeme stehen zum Download bereit:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.citrix.com\/downloads\/citrix-adc\/\" target=\"_blank\" rel=\"nofollow noopener\">Citrix Application Delivery Controller<\/a><\/li>\n<li><a href=\"https:\/\/www.citrix.com\/downloads\/citrix-gateway\/\" target=\"_blank\" rel=\"nofollow noopener\">Citrix Gateway<\/a><\/li>\n<li><a href=\"https:\/\/www.citrix.com\/downloads\/citrix-sd-wan\/\" target=\"_blank\" rel=\"nofollow noopener\">Citrix SD-WAN WANOP<\/a><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcitrix-sicherheitsluecke-dringender-handlungsbedarf-fuer-unternehmen%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcitrix-sicherheitsluecke-dringender-handlungsbedarf-fuer-unternehmen%2F&text=Citrix%20Sicherheitsl%C3%BCcke%20%E2%80%93%20Dringender%20Handlungsbedarf%20f%C3%BCr%20Unternehmen\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcitrix-sicherheitsluecke-dringender-handlungsbedarf-fuer-unternehmen%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcitrix-sicherheitsluecke-dringender-handlungsbedarf-fuer-unternehmen%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Mitte Dezember 2019 wurde eine Sicherheitsl\u00fccke in der Fernwartungssoftware Citrix entdeckt, die es Angreifern erlaubt, auf das lokale Netzwerk eines Unternehmens zuzugreifen. Tausende Rechner deutscher Unternehmen sind seitdem gef\u00e4hrdet. Hinzu kommt, dass im Netz bereits diverse Anleitungen kursieren, die es selbst Personen mit geringen IT-Kenntnissen erm\u00f6glichen, Zugang zu Servern von Unternehmen zu bekommen und dort sch\u00e4dlichen Code auszuf\u00fchren. Citrix schafft den digitalen Arbeitsplatz Gemeinsam mit Microsoft stellt Citrix Cloud-L\u00f6sungen f\u00fcr [&hellip;]<\/p>\n","protected":false},"author":65,"featured_media":7363,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[767],"tags":[],"class_list":["post-7359","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bedrohungslage"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/7359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/65"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=7359"}],"version-history":[{"count":6,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/7359\/revisions"}],"predecessor-version":[{"id":10659,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/7359\/revisions\/10659"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/7363"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=7359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=7359"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=7359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}