Beiträge

ORF AM4 Blog – Dringende Warnung vor Hintertüren in Citrix-Systemen

Anlässlich der aktuell gegebenen Ransomware Erpressung der Uniklinik Düsseldorf hat der ORF in seinem AM4 Blog sich nochmal den Infektionsweg über Citrix / VPN-Gateways angeschaut. Dabei wird erneut hervorgehoben, wie lange die Sicherheitslücke bereits bekannt und in aktiver Ausnutzung war.

 

Die AG Krіtis, ein Nonprofit-Zusammenschluss deutscher Sicherheitsexperten, hatte bereits Anfang Jänner (Januar) vor Angriffen auf die kritische Infrastruktur gewarnt

 

Da wir von einem Told-you-so nichts haben, hier noch einmal der Link zur Herleitung unserer damaligen Forderung verbunden mit dem dringenden Hinweis an alle Entscheidungsträger.

 

Den vollständigen ORF-Artikel findet ihr hier.

#Shitrix: Was kann der Gesetzgeber aus dem Citrix-Vorfall lernen und für KRITIS Betreiber verbessern?

Seit dem 07.01.2020 hat das CERT-Bund des BSI deutsche Netzbetreiber, die Bundesverwaltung, Betreiber Kritischer Infrastrukturen und andere -Nutzergruppen über verwundbare Citrix-Systeme informiert. Darüber hinaus wurde beispielsweise am 16.01.2020 nochmal verschärft darauf hingewiesen, dass seit dem 10.01.2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde. Trotzdem sind heute immer noch viele Systeme verwundbar und werden aktiv kompromittiert, wie beispielsweise auch die Landeshauptstadt Potsdam und die Stadt Brandenburg!

Wie kann es sein, dass nach Veröffentlichung von Schwachstellen durch Hersteller und Entdecker als auch nach Warnmeldungen vom BSI ein sicherer Betrieb und eine zügige Absicherung der IT-Infrastruktur nicht gewährleistet werden kann? Bis heute sind immer noch viele Systeme ungepatcht.

Um den beschriebenen Herausforderungen auf geeignete Weise begegnen zu können, bedarf es staatlicher Unterstützung, die wir in diesem Beitrag zu politischen Forderungen zur Diskussion stellen möchten.

So kann es nicht weitergehen. Die Politik ist jetzt gefragt, einige wenige, aber sehr notwendige gesetzliche Änderungen durchzuführen.

Politische Forderungen

Was kann der Gesetzgeber aus dem Citrix-Vorfall als auch der kürzlich bekannt gewordenen Krypto-Schwachstelle bei Microsoft lernen und für uns alle verbessern?

Unabhängigkeit des Bundesamt für Sicherheit in der Informationstechnik

Wie einem Mitglied der AG KRITIS vertraulich zugetragen wurde, hätte die Citrix-Sicherheitslücke bereits einige Tage oder Wochen vor der ersten Meldung von Citrix am 17.12.2019 an das BSI gemeldet werden können. Mitarbeiter eines Unternehmens hatten schon früher Kenntnis über die Sicherheitslücke erlangt – entschieden sich aber, diese die Kenntnis der Sicherheitslücke vorerst nicht dem BSI öffentlich zu machen oder zu melden. Mangels Vertrauen, dass diese Erkenntnisse nicht auch an Angreifer oder über das BMI an die Sicherheitsbehörden zur Ausnutzung gelangen würden!

Stellungnahme vom 29.01.2020 zum obigen Abschnitt: Es handelte sich hierbei nicht um eine Meinung des Unternehmens, sondern um eine private Meinung, die in dieser Weise nicht für die Veröffentlichung vorgesehen war. Dafür entschuldigen wir uns nachdrücklich.

Das BSI muss aus den Strukturen des Bundesinnenministeriums herausgelöst werden, um eine unabhängige und defensive IT-Sicherheit in Deutschland zu etablieren. Das BMI ist auch für deutsche Sicherheitsbehörden zuständig, die zwangsläufig aufgrund ihres staatlichen Auftrags den IT-Sicherheitszielen gegensteuern müssen.

Ein unabhängiges und ausschließlich defensiv agierendes BSI kann zum einen das benötigte Vertrauen schaffen, so dass Sicherheitsforscher alle gefundenen Schwachstellen dem Hersteller als auch dem BSI möglichst umgehend bereitstellen. Zum anderen kann es dann wiederum auch konsequent die Entwicklung eines Patches und das ausrollen und installieren bei KRITIS Betreibern als Kunden dieser Hersteller überwachen und sicherstellen. Zur Not auch durch den Einsatz von Bußgeldern und Strafzahlungen, vergleichbar dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Rahmen der DSGVO.

Solange dieses Vertrauen nicht hergestellt ist, werden durch Sicherheitsforscher entdeckte Sicherheitslücken nicht konsequent an das BSI gemeldet. Des weiteren wird dadurch auch der Schwarzmarkt zum Handel mit Sicherheitslücken (0days oder zero day exploits) und zugehörigen Exploits zum Ausnutzen der Lücken angefeuert und nicht ausgetrocknet.

Gesetzlich verpflichtendes Patchmanagement

KRITIS Betreiber können häufig nicht ihre eigene Software für Spezialanwendungen schreiben und müssen diese zukaufen. Wir fordern daher neben der Veröffentlichung des Quellcodes, oder aber der treuhänderischen Verwaltung des Quellcodes eine gesetzliche Verpflichtung der KRITIS-Betreiber, Aktualisierungen und Softwareverteilung auf Integrität und Herkunft zu prüfen, aber auch binnen einer vorgegebenen und Bußgeldbewehrten Frist, Empfehlungen und Mindeststandards des BSI umzusetzen. Dies erfordert, dass Hersteller entsprechende Signaturen implementieren. Unsignierte Software, die nicht Open Source ist, und wo sich der Quellcode nicht in treuhändischer Verwaltung befindet, darf im KRITIS-Umfeld unserer Meinung nach nicht eingesetzt werden.

Patches müssen gesichert eingespielt werden können, um einen dauerhaften Schutz der IT-Landschaft zu gewährleisten.

FM4 ORF Artikel: Immer mehr Citrix-Systeme mit Schadsoftware verseucht

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Bei FM4 von ORF in Österreich betonen wir, wie gefährlich es ist, sich in falscher Sicherheit zu wiegen.

„Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb rät Manuel Atug von der AG Kritis, die VPN-Gateways und Lastverteiler von Citrix im Zweifelsfall völlig neu aufzusetzen.“

Der vollständige Artikel bei FM4 von ORF in Österreich findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

Logbuch Netzpolitik 327: Dienste der Informationsgesellschaft – Citrix Vulnerability

@Linuzifer und @timpritlove haben in ihrem Podcast unseren Beitrag und die zugehörigen Analysen zur Citrix Schwachstelle #Shitrix wegen der Relevanz bezogen auf die Kritischen Infrastrukturen referenziert und besprochen.

Hier ein paar Auszüge aus dem Podcast:

„Ab in die Securtiy Hölle… von Citrix gibt es eine wunderschöne Schwachstelle.“

„Aber wo Citrix sehr viel Anwendung findet, ist in der Fernwartung von Systemen.“

„Problem: Gibt da ne Schwachstelle und diese Schwachstelle ermöglicht im Prinzip auf den Servern eine Remote Code Execution vor der Authentifizierung.“

„Jetzt gibt es gerade Disko im Internet, weil natürlich keiner weiß, ob seine Citrix Büchsen nicht schon längst aufgemacht wurden. Wie das so ist bei solchen Schwachstellen weißt Du nicht, in wessen Händen die vorher schon waren. Und gerade im Bereich der Kritischen Infrastrukturen kommt das gerne zum Einsatz.“

„Dazu gibt es auch eine entsprechende Veröffentlichung der AG KRITIS. Die kümmern sich um Sicherheitsfragen in Kritischen Infrastrukturen. Das meint eben sowas wie Stadtwerke, Krankenhäuser, Polizei und Feuerwehr für unsere Allgemeinheit. Auch sowas wie Energiesektor etc. Wichtige kritische Infrastruktur und die haben da auch mal nachgeschaut und festgestellt: hmmm, von denen, die offensichtlich hier Betroffene sein könnten gibt es zahlreiche, also tausende alleine in Deutschland, die hier noch nicht für entsprechende Anpassung der Konfiguration bzw. Softwareupdate, was es offensichtlich noch nicht gibt, gesorgt haben.“

Hier noch die referenzierte und in teilen zitierte Veröffentlichung von uns:

ag.kritis.info: KRITIS Betreiber von schwerwiegender Citrix-Schwachstelle betroffen

Den vollständigen @me_netzpolitik Podcast „LNP327 Dienste der Informationsgesellschaft“ mit @AG_KRITIS findet ihr hier:

DLF-Radio: Citrix-Sicherheitslücke- Schwachstelle bereitet Sicherheitsexperten Kopfzerbrechen

Wir berichteten über die aktuelle Sicherheitslücke #Shitrix in VPN-Gateways von Citrix. Bei Deutschlandfunk Forschung aktuell – Computer und Kommunikation zieht es die politische Diskussion nach sich: Braucht es eine gesetzliche Meldepflicht für Sicherheitslücken?.

Diese Sicherheitslücken müssten nach dem Dafürhalten vieler Sicherheitsexperten längst geschlossen sein. Bereits seit Jahren fordern sie eine Meldepflicht für Sicherheitslücken. Manuel Atug:

„Schwachstellen müssen gemeldet werden, Schwachstellen müssen von Herstellern behoben werden. Hersteller müssen eigentlich ganz klar dazu sozusagen gezwungen werden, eine Update-Pflicht zu haben und diese Updates auch für eine entsprechende Vertrags oder Mindestlaufzeit bereitzustellen. Dann weiß ich als KRITIS-Betreiber: Ich kaufe dieses Produkt ein. Ich habe vor, das zehn Jahre, 20 Jahre oder nur drei Jahre zu nutzen, und dann muss der mir auch diese Updates in dem Zeitraum garantieren für Schwachstellen, die gemeldet werden.“

Der vollständige Beitrag in DLF Forschung aktuell mit @HonkHase findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

SWR Netzagent: Wie gefährlich ist die Citrix Sicherheitslücke? | Gespräch mit IT-Experten

Wir waren beim SWR Netzagent Podcast zu Gast und haben dort über die Citrix #Shitrix Schwachstelle im Zusammenhang mit Kritischen Infrastrukturen diskutiert.

Die Citrix Sicherheitslücke zeigt, wie schwerfällig und langsam in Deutschland auf IT Sicherheitslücken reagiert wird. Auch nach einem Monat haben längst nicht alle Unternehmen ihre Systeme geschützt. Dabei sind die ersten Firmen bereits gehackt worden. In Deutschland nutzen nicht nur Wirtschaftsunternehmen sondern auch Betreiber kritischer Infrastrukturen wie Krankenhäuser, Energieversorger oder Leitstellen die Citrix Software. Durch diese Sicherheitslücke sind also auch ganz empfindliche Bereiche und Daten betroffen. Die @AG KRITIS ist eine Arbeitsgemeinschaft von IT Experten, die versucht die IT Sicherheit für kritische Infrastrukturen zu erhöhen. Meine Gesprächspartner im Netzagenten sind die IT Experten Jan Hoff und Manuel Atug beide von der @AG KRITIS. Im Netzagenten sprechen wir über die Gefahren und Auswirkungen der IT Sicherheitslecks und wie wir uns in Deutschland schützen können.

Den vollständigen SWR Netzagent Podcast mit @mehgrmlhmpf und @HonkHase findet ihr hier:

Umsetzung des Citrix Workaround verläuft schleppend

#Citrix Workaround durch zahlreiche Betreiber erst sehr spät oder bis heute nicht implementiert!

Angesichts der Tatsache, dass seit der vergangenen Woche mehrere Exploits frei im Internet verfügbar sind, ist das geradezu fahrlässig #KRITIS #shitrix

— AG KRITIS (@AG_KRITIS) January 16, 2020

Spiegel-Artikel: Kompromittiert mit Ansage

Unter ihnen  Behörden, Parteien, Banken, Kraftwerksbetreiber, Universitäten, Krankenhäuser und Gemeinden.

„Wer nicht den #Workaround von #Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie #kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug von der @AG_KRITIS.

Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die #Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten.

SPIEGEL-Artikel: Kompromittiert mit Ansage

Wir berichteten über die aktuelle Sicherheitslücke in VPN-Gateways von Citrix. Der SPIEGEL hebt heraus, dass Citrix nun für Kriminelle ein Jackpot ist.

„Wer nicht den Workaround von Citrix implementiert hat, tut gut daran, seine Systeme jetzt darauf zu überprüfen, ob sie kompromittiert sind“, sagt Sicherheitsexperte Manuel Atug. Er leitet die unabhängige Arbeitsgruppe AG KRITIS, die sich dem Schutz kritischer Infrastrukturen verschrieben hat.

Dort sieht er ein besonderes Bedrohungspotenzial. Für die Organisierte Kriminalität oder staatlich unterstützte Hacker sei Citrix ein „Jackpot“, sagt Atug. Schließlich ermögliche die Schwachstelle nicht zuletzt, sich in den Systemen von Betreibern kritischer Infrastrukturen einzunisten, also etwa bei Verwaltungen, in der Energie- oder der Wasserversorgung – für eine sofortige Erpressung oder auch für einen späteren Angriff.

Der vollständige Artikel in SPIEGEL Netzwelt findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier:

ZDF-Artikel – Citrix: Gesetz ermöglicht Schwachstellen

Im Nachgang zu unserer Berichterstattung über die aktuelle Sicherheitslücke in CITRIX VPN-Gateways berichtete das ZDF auf seiner Website auch über uns.

Legt ein Hackerangriff zum Beispiel eine Rettungsleitstelle, ein Krankenhaus oder ein Wasserwerk lahm, hat das massive Auswirkungen. „Der Angriff ist vergleichsweise einfach und entsprechende Angriffswerkzeuge bereits frei verfügbar“, warnte die AG Kritis, eine Arbeitsgemeinschaft von IT-Sicherheitsexperten, die sich um kritische Infrastrukturen kümmern, bereits am vergangenen Wochenende.

Der vollständige Artikel ist auf der Webseite des ZDF zu finden.

Unser Blogpost zum Thema ist hier zu finden:

SZ-Artikel – Wie #Shitrix die IT-Sicherheit weltweit gefährdet

Die Süddeutsche Zeitung berichtete über unsere Sicherheitsmeldung in Bezug auf die aktuelle Sicherheitslücke in Citrix VPN Gateways.

Die AG Kritis, ein Zusammenschluss von IT-Experten, die die Sicherheit kritischer Infrastrukturen in Deutschland verbessern wollen, warnte am Wochenende in einem Blogbeitrag, dass auch in Leitstellen von Polizei und Feuerwehr in Deutschland betroffene Citrix-Software zum Einsatz kommt.

Der Volltext des Artikels der Süddeutschen Zeitung findet sich hier:

Unser Blogpost zu diesem Thema findet sich hier: