BaFin warnt Banken: Workaround für Citrix-Schwachstelle umsetzen
Kai Hartmann Photography / BaFin
Die BaFin ruft Unternehmen des Finanzsektors, die Citrix verwenden, dringend dazu auf, eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Meldung über eine Schwachstelle der Software zu beachten und die empfohlenen Workaround-Maßnahmen umzusetzen.
Auch der Hersteller Citrix empfiehlt, die bereitgestellten Workaround-Maßnahmen umgehend auszuführen und nicht auf Sicherheitsupdates zu warten. Denn die vom Hersteller angekündigten Sicherheitsupdates sollen je nach Version der betroffenen Produkte erst Ende Januar 2020 verfügbar sein.
Banken und Finanzdienstleister, die Citrix nutzen, aber die entsprechenden Workaround-Maßnahmen bislang nicht befolgt haben, sollten zudem ihre direkt mit dem Internet verbundenen Citrix-Systeme auf eine wahrscheinliche Kompromittierung hin prüfen.
Das BSI hatte Anfang Januar davor gewarnt, dass mehrere Systeme erfolgreich angegriffen wurden. Der US-Software-Hersteller hat am 17. Dezember 2019 über eine Schwachstelle (CVE-2019-19781) in den Produkten “Citrix Gateway” und “Citrix Application Delivery Controller” (ADC) und am 16. Januar 2020 über eine in der Citrix SD-WAN WANOP-Appliance informiert.
Schwachstellen machen es möglich, das Angreifer auf interne Verzeichnisse zugreifen
Die Produkte kommen laut BSI für den Remote-Zugriff auf organisationsinterne Anwendungen mit einem Web-Frontend bzw. zur Standortkopplung zum Einsatz. Sie werden auch bei Banken und Finanzdienstleistern eingesetzt, zum Beispiel damit Mitarbeiterinnen und Mitarbeiter, die nicht am Arbeitsplatz sind, auf die Systeme zugreifen können.
Die entdeckten Schwachstellen in Citrix ermöglicht es einem Angreifer, mithilfe von präparierten HTTP-/HTTPS-Anfragen aus den öffentlich zugänglichen Verzeichnissen der Webanwendung auszubrechen und auf interne Verzeichnisse zuzugreifen. Dies kann dazu führen, dass der Angreifer Konfigurationsdateien ausliest, Dateien ablegt oder manipuliert oder eigenen Code ausführt.
BSI
In den vergangenen Tagen haben wir knapp 5.000 aus dem Internet erreichbare, verwundbare Citrix-Systeme an deutsche Netzbetreiber gemeldet. Derzeit sind davon immer noch rund 1.500 für Angreifer verwundbar. Leider reagieren die betroffenen Unternehmen oft nur langsam, Workarounds und Patches werden häufig nicht schnell genug umgesetzt. Ich kann nur mit Nachdruck an die Wirtschaft appellieren, solche Warnungen nicht auf die lange Bank zu schieben.”
Arne Schönbohm, BSI-Präsident Arne Schönbohm
Bundesamt warnt seit Anfang Januar vor Citrix-Schwachstellen
Am 7. Januar 2020 informierte das BSI erstmals deutsche Netzbetreiber über verwundbare Citrix-Systeme. Auch die Bundesverwaltung, Betreiber kritischer Infrastrukturen und andere IT-Nutzergruppen wurden vom BSI informiert, insbesondere nachdem seit 10. Januar 2020 verstärkt Exploit-Code zur Ausnutzung der Schwachstelle veröffentlicht wurde.
Mit der Veröffentlichung der Schwachstellen-Meldung hat die Firma Workaround-Maßnahmen zur Filterung präparierter HTTP-/HTTPS-Anfragen empfohlen. Um die Wirksamkeit des Workarounds sicherzustellen, sollte zumindest in dem Citrix ADC Release 12.1 eine Build-Version mindestens ab 51.16/51.19 und 50.31 zum Einsatz kommen, da der Workaround ansonsten nicht greift, warnt der Hersteller.
Weitere Informationen zur Schwachstelle und Workaround stehen im Internet zur Verfügung:
1. CVE-2019-19781 – Vulnerability in Citrix Application Delivery Controller and Citrix Gateway (Link)
2. CTX267679 – Mitigation steps for CVE-2019-19781 (Link)
3. Checklist for Citrix ADC CVE-2019-19781 (Link).hd
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/99964
Schreiben Sie einen Kommentar