Erste Patches verfügbar

Security-Hersteller warnen vor gefährlicher Lücke in Citrix ADC



Andreas Th. Fischer ist freier Journalist in München. Er verfügt über langjährige Erfahrung als Redakteur in verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security, Netzwerke und Virtualisierung.
Unter Hochdruck hat der Netzwerkhersteller Citrix jetzt erste Sicherheits-Patches für eine in Citrix ADC entdeckte massive Schwachstelle veröffentlicht.

Eine Mitte Dezember in den Netzwerk-Balancern von Citrix gefundene Schwachstelle gilt bei Experten schon als eine der gefährlichsten Sicherheitslücken der vergangenen Jahre. Der Citrix Application Delivery Controller (ADC) sowie das Citrix Gateway werden von zahlreichen Unternehmen auf der ganzen Welt genutzt, um Verzögerungen im Netzwerk zu reduzieren und um ihre Infrastruktur gleichmäßiger auszulasten. Aufgrund der Lücke können Angreifer darüber jedoch aus der Ferne Schadcode einschleusen und ausführen, warnen zahlreiche Sicherheitsanbieter.

Eine Sicherheitslücke in Citrix ADC sorgt für Unruhe in der IT-Branche. Nun gibt es aber erste Patches.
Eine Sicherheitslücke in Citrix ADC sorgt für Unruhe in der IT-Branche. Nun gibt es aber erste Patches.
Foto: Casimiro PT - shutterstock.com

So weist etwa Unit 42, eine Forschungsabteilung von Palo Alto Networks, darauf hin, dass "die Schwachstelle einschließlich aller unterstützten Builds die Produktversionen und Plattformen Citrix ADC und Citrix Gateway Version 13.0, Citrix ADC und NetScaler Gateway Version 12.1, 12.0 und 11.1 sowie Citrix NetScaler ADC und NetScaler Gateway Version 10.5" betrifft. Nach Angaben des Unternehmens wird die Lücke bereits aktiv von Cyber-Kriminellen "in großem Stil" ausgenutzt. Sie sollte deswegen schnellstmöglich geschlossen werden.

Wie Stefan Karpenstein, Public Relation Manager bei G Data, in einem Blog-Beitrag schreibt, hat unter anderem die Hacker-Gruppe "Project Zero India" bereits einen Proof-of-Concept ins Netz gestellt, mit dem sich ein Angriff mit relativ wenig Aufwand durchführen lassen soll. Sein Kollege Tim Berghoff, Security Evangelist bei G Data Cyber Defense, erläutert das Problem weiter: "Die Sicherheitslücke erlaubt den Zugriff auf die Verzeichnisstruktur eines angreifbaren Systems; es ist keine Authentifizierung erforderlich, sodass ein Angriff aus der Ferne durch eine speziell präparierte Anfrage an das System erfolgen kann."

»

Channel meets Cloud

Systemhäuser müssen Cloud-fähig werden, um ihren Kunden die passenden Lösungen anzubieten. Auf dem c.m.c. Kongress am 20. Februar 2020 in München zeigen Service Provider, wie das Cloud- und Managed-Service-Geschäft gelingt.
channel meets cloud cmc

Nach anfänglichem Zögern hat Citrix jetzt mehrere Sicherheits-Patches für Citrix ADC veröffentlicht. Weitere Security-Updates sollen noch in dieser Woche freigegeben werden. Ende 2019 hatte das Unternehmen mit Bronwyn Hastings eine neue Channel-Chefin vorgestellt.

Lesen Sie auch: Diese Cyber-Security-Anbieter sind im Channel am beliebtesten

Zur Startseite