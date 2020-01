Eine Mitte Dezember in den Netzwerk-Balancern von Citrix gefundene Schwachstelle gilt bei Experten schon als eine der gefährlichsten Sicherheitslücken der vergangenen Jahre. Der Citrix Application Delivery Controller (ADC) sowie das Citrix Gateway werden von zahlreichen Unternehmen auf der ganzen Welt genutzt, um Verzögerungen im Netzwerk zu reduzieren und um ihre Infrastruktur gleichmäßiger auszulasten. Aufgrund der Lücke können Angreifer darüber jedoch aus der Ferne Schadcode einschleusen und ausführen, warnen zahlreiche Sicherheitsanbieter.

So weist etwa Unit 42, eine Forschungsabteilung von Palo Alto Networks, darauf hin, dass "die Schwachstelle einschließlich aller unterstützten Builds die Produktversionen und Plattformen Citrix ADC und Citrix Gateway Version 13.0, Citrix ADC und NetScaler Gateway Version 12.1, 12.0 und 11.1 sowie Citrix NetScaler ADC und NetScaler Gateway Version 10.5" betrifft. Nach Angaben des Unternehmens wird die Lücke bereits aktiv von Cyber-Kriminellen "in großem Stil" ausgenutzt. Sie sollte deswegen schnellstmöglich geschlossen werden.

Wie Stefan Karpenstein, Public Relation Manager bei G Data, in einem Blog-Beitrag schreibt, hat unter anderem die Hacker-Gruppe "Project Zero India" bereits einen Proof-of-Concept ins Netz gestellt, mit dem sich ein Angriff mit relativ wenig Aufwand durchführen lassen soll. Sein Kollege Tim Berghoff, Security Evangelist bei G Data Cyber Defense, erläutert das Problem weiter: "Die Sicherheitslücke erlaubt den Zugriff auf die Verzeichnisstruktur eines angreifbaren Systems; es ist keine Authentisierung erforderlich, sodass ein Angriff aus der Ferne durch eine speziell präparierte Anfrage an das System erfolgen kann."

Nach anfänglichem Zögern hat Citrix jetzt mehrere Sicherheits-Patches für Citrix ADC veröffentlicht. Weitere Security-Updates sollen noch in dieser Woche freigegeben werden. Ende 2019 hatte das Unternehmen mit Bronwyn Hastings eine neue Channel-Chefin vorgestellt.

