Logbuch Netzpolitik 327: Dienste der Informationsgesellschaft – Citrix Vulnerability

@Linuzifer und @timpritlove haben in ihrem Podcast unseren Beitrag und die zugehörigen Analysen zur Citrix Schwachstelle #Shitrix wegen der Relevanz bezogen auf die Kritischen Infrastrukturen referenziert und besprochen.

Hier ein paar Auszüge aus dem Podcast:

„Ab in die Securtiy Hölle… von Citrix gibt es eine wunderschöne Schwachstelle.“

„Aber wo Citrix sehr viel Anwendung findet, ist in der Fernwartung von Systemen.“

„Problem: Gibt da ne Schwachstelle und diese Schwachstelle ermöglicht im Prinzip auf den Servern eine Remote Code Execution vor der Authentifizierung.“

„Jetzt gibt es gerade Disko im Internet, weil natürlich keiner weiß, ob seine Citrix Büchsen nicht schon längst aufgemacht wurden. Wie das so ist bei solchen Schwachstellen weißt Du nicht, in wessen Händen die vorher schon waren. Und gerade im Bereich der Kritischen Infrastrukturen kommt das gerne zum Einsatz.“

„Dazu gibt es auch eine entsprechende Veröffentlichung der AG KRITIS. Die kümmern sich um Sicherheitsfragen in Kritischen Infrastrukturen. Das meint eben sowas wie Stadtwerke, Krankenhäuser, Polizei und Feuerwehr für unsere Allgemeinheit. Auch sowas wie Energiesektor etc. Wichtige kritische Infrastruktur und die haben da auch mal nachgeschaut und festgestellt: hmmm, von denen, die offensichtlich hier Betroffene sein könnten gibt es zahlreiche, also tausende alleine in Deutschland, die hier noch nicht für entsprechende Anpassung der Konfiguration bzw. Softwareupdate, was es offensichtlich noch nicht gibt, gesorgt haben.“

Hier noch die referenzierte und in teilen zitierte Veröffentlichung von uns:

ag.kritis.info: KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

Den vollständigen @me_netzpolitik Podcast „LNP327 Dienste der Informationsgesellschaft“ mit @AG_KRITIS findet ihr hier: