1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shitrix: Das Citrix-Desaster

Shitrix Lücke ist ja nicht das eigentliche Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Sea 14.01.20 - 15:02

    verstehe ich da was falsch oder ist das vorhanden sein der Lücke nicht das Problem?
    Das die Lücke existiert, ja OK. Doof. Aber die Lücke betrifft ja nur das Admin Panel. Das dieses zum Internet hin offen ist, das ist doch das Problem. DAS bescheinigt völliges Versagen der entsprechenden IT. Das die Sicherheitslücke nicht 4 Wochen nach bekanntwerden gepatched wurde, wovon 2 auch noch Urlaubszeit waren, sehe ich nicht wirklich als Versagen an. Zumal in vielen Behörden ja nicht mal einfach irgendwas geändert werden DARF. Da gibt es ein Change Management mit einer endlosen Kette an Genehmigern, ohne deren OK mal rein gar nichts gemacht werden darf. Hier lebt der Author leider in seiner eigenen kleinen Welt.
    Ja, die Situation ist schlecht, aber sie ist nun mal so. Kann der Admin nix für

  2. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: hannob (golem.de) 14.01.20 - 15:07

    Nein, ist glaub hier doch etwas anders:
    Bei den meisten betroffenen Systemen handelt es sich um VPN-Gateways die dafür gedacht sind ins Internet offen zu sein.

    Die WAF- und Loadbalancer-Systeme sind wohl ebenfalls betroffen, aber deren Interface ist üblicherweise nur im internen Netzwerk. D.h. auch blöd aber evtl. weniger kritisch.

  3. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: sre 14.01.20 - 17:08

    Sea schrieb:
    --------------------------------------------------------------------------------
    > Zumal
    > in vielen Behörden ja nicht mal einfach irgendwas geändert werden DARF. Da
    > gibt es ein Change Management mit einer endlosen Kette an Genehmigern, ohne
    > deren OK mal rein gar nichts gemacht werden darf.

    Wer ein Change-Management praktiziert welches das zeitnahe Beheben von Sicherheitslücken in Hochrisikosystemen unterbindet hat IT nicht verstanden.
    Und überall wo das so ist stehen auch die Admins in der Verantwortung den Vorgesetzten sehr sehr deutlich klar zu machen, dass sich das SOFORT zu ändern hat.

    Deine Aussage ist das Musterbeispiel dafür was Die letzten 20 Jahre in IT Abteilungen schief gelaufen ist.
    Zum Glück verstehen mittlerweile immer mehr Unternehmen dass die IT nicht einfach nur ein lästiger Kostenfaktor sondern zentraler Überlebensfaktor ist.



    3 mal bearbeitet, zuletzt am 14.01.20 17:09 durch sre.

  4. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: 1st1 14.01.20 - 21:11

    Das ist genauso Quatsch. Wer Patches ungeprüft auf Produktiv-Systeme loslässt, ist ganz schnell der Dumme. Immer erstmal testen, gerade bei hochkritischen Systemen.

  5. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: sre 15.01.20 - 08:51

    Zeitnah != "sofort und ungetestet"
    Das ist mir eindeutig zu viel Interpretation

    Eine Reaktionszeit von über 4 Wochen ist bei hockritischen Lücken schlicht inakzeptabel.

    BTW:
    Es gibt keinen Patch, nur einen Workaround der das ganze für's Erste verhindert.

    Die einhellige Strategie in solchen Fällen wie diesem ist:
    Alle Systeme die im Internet hängen und noch nicht geschützt sind/waren sind nun als kompromittiert zu betrachten, müssen komplett vom Netz genommen und neu aufgesetzt werden.

    Aufgrund der DNS Einträge sind die Citrix Kisten super einfach zu finden.

    Aber glaubt ruhig daran, dass Change-Management mit Laufzeiten von mehreren Monaten toll ist.



    1 mal bearbeitet, zuletzt am 15.01.20 09:00 durch sre.

  6. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: AynRandHatteRecht 15.01.20 - 08:54

    sre schrieb:
    --------------------------------------------------------------------------------
    > Aufgrund der DNS Einträge sind die Citrix Kisten super einfach zu finden.

    … oder shodan.io

  7. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: sre 15.01.20 - 09:04

    AynRandHatteRecht schrieb:
    --------------------------------------------------------------------------------
    >
    > … oder shodan.io

    Das erschreckt die armen Amins immer so, dass ich es lieber nicht mehr erwähne!

  8. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Snoozel 15.01.20 - 09:26

    > Das ist genauso Quatsch. Wer Patches ungeprüft auf Produktiv-Systeme
    > loslässt, ist ganz schnell der Dumme. Immer erstmal testen, gerade bei
    > hochkritischen Systemen.

    Tut doch keiner. Dafür gibt es Emergency-Changes mit beschleunigtem Verfahren - das schließt tests aber nicht aus.

  9. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: AynRandHatteRecht 15.01.20 - 09:37

    sre schrieb:
    --------------------------------------------------------------------------------
    > AynRandHatteRecht schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > … oder shodan.io
    >
    > Das erschreckt die armen Amins immer so, dass ich es lieber nicht mehr
    > erwähne!

    Hatte Anfang 2019 mal etwas gefunden und dann über das BSI und auch eine Zeitung eskaliert. Ein regionaler WISP hatte Ubiquiti CPE deployed und seit mehreren Jahren nicht mehr aktualisiert. Die waren dann alle owned. Großes Drama. In Spanien bei nem anderen mehrere Tausend, habe an das dortige "BSI" eskaliert aber nicht mehr viel gehört.

    Dann auch noch ein paar offene ElasticSearch und Kibana-Instanzen…offenes SMB-Share einer Berliner Piloten-Schule (inkl persönlichen Daten der ATPL-Flugschüler).

    Eine Firma hat sich bei mir bedankt mit Schokolade.

    Ca 15 andere haben nicht reagiert, 1 nach Zeitung/Medien-Information. Das wars. Die Probleme wurden dann jedoch wenigsten in 1-2 Wochen stillschweigend behoben und kein Datenschützer bzw Öffentlichkeit hat je davon erfahren. So ist es hier halt üblich.

    Es hat mich depressiv werden lassen und ich habe dann einfach nicht weiter gesucht, zumal mir niemand die Zeit bezahlt. Es war nirgends ein 0-day oder ein Exploit im Spiel. Schlicht Fehlkonfiguration oder unterlassene Wartung, seit Monaten bekannte Lücken und alles mit etwas Suche über Shodan zu finden.



    1 mal bearbeitet, zuletzt am 15.01.20 09:39 durch AynRandHatteRecht.

  10. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Terins 15.01.20 - 09:44

    Ich finde das eigentliche Problem ist die Hacker Community. Alle wussten davon, alle können den Exploit ausnutzen, aber keiner kommt auf die Idee eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt, sondern schließt?! Das zeigt mir, dass es mit unserer Ethik nicht weit her ist und es eigentlich nur Anarchie im Internet gibt. Der Aufwand wäre verschwindend gering und als Notwehr zum Schutz der Wirtschaft und der Sicherheit aller durchaus gerechtfertigt.



    1 mal bearbeitet, zuletzt am 15.01.20 09:50 durch Terins.

  11. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: AynRandHatteRecht 15.01.20 - 09:45

    Terins schrieb:
    --------------------------------------------------------------------------------
    > Ich finde das eigentliche Problem ist die Hacker Community. Alle wussten
    > davon, alle können den Exploit ausnutzen, aber keiner kommt auf die Idee
    > eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt,
    > sondern schließt?!

    genau, der CCC hat versagt. /zyn

  12. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: davidcl0nel 15.01.20 - 10:32

    Terins schrieb:
    --------------------------------------------------------------------------------
    > eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt,
    > sondern schließt?!

    Ist ja nur auch verboten... Auch wenn du es gut gemeint hast, wirst du hinterher die Folgen zu tragen haben. Anklage, Haftm wasweißich.

  13. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: DasKleineTeilchen 15.01.20 - 10:47

    Terins schrieb:
    --------------------------------------------------------------------------------
    > Ich finde das eigentliche Problem ist die Hacker Community. Alle wussten
    > davon, alle können den Exploit ausnutzen, aber keiner kommt auf die Idee
    > eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt,
    > sondern schließt?!

    you have to be shitting me! allen.ernstens?!? erstens nicht deren aufgabe, zweitens verboten! drittens hat ja auch jede softwarebude, die software _verkauft_ und nicht open-souce ist, ihren quellode für jeden offen ins netz gestellt. mannmannmann.

    ("das _eigentliche_ problem"! wow!)



    1 mal bearbeitet, zuletzt am 15.01.20 10:49 durch DasKleineTeilchen.

  14. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Sea 15.01.20 - 16:47

    da können sich Admins bis zum rotieren in der Verantwortung sehen. Das interessiert in so einer Behörde die oberen in der Kette einen scheiss.
    Je nach dem was da an Compliance dahinter steht sind das halt extrem starre Konstrukte.
    Wenn du da eine Untschrift dafür brauchst, um ein Feuer löschen zu dürfen, der Unterschriftberechtigte aber grad 4 Wochen im Urlaub ist, dann brennt die Bude halt ab.
    Man wünscht sich ja dass das nicht so wäre, aber so sieht die Realität leider oft aus.
    Da kann man in Foren noch so neunmalklug daher schwätzen und anfeinden.

  15. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: ibsi 16.01.20 - 10:00

    Das Problem sind die Richter und Polizisten, nicht die Kriminellen

    *lach* Sorry, aber selten so was ~interessantes ~ gelesen.

  16. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: 7bit 19.01.20 - 11:25

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Nein, ist glaub hier doch etwas anders:
    > Bei den meisten betroffenen Systemen handelt es sich um VPN-Gateways die
    > dafür gedacht sind ins Internet offen zu sein.

    Aber nur der VPN-Port, nicht das Admin-webinterface!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. Rational AG, Landsberg
  3. VerbaVoice GmbH, München
  4. neam IT-Services GmbH, Paderborn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Nintendo Switch 270,00€, Gigabyte GeForce RTX 2070 Super Gaming OC für 479,00€, Zotac...
  2. 59,99€ (PC)/ 69,99€ (PS4, Xbox) - Release am 20. März
  3. 68,90€
  4. (aktuell u. a. Emtec X150 Power Plus SSD 480 GB für 52,90€, Apacer AS340 120 GB SSD für 18...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

  1. Lenovo: Thinkpad-Firmware soll gegen defekte USB-Anschlüsse helfen
    Lenovo
    Thinkpad-Firmware soll gegen defekte USB-Anschlüsse helfen

    Viele Thinkpads haben offenbar fehlerhafte Controller, so dass nach einiger Zeit USB-Typ-C-Buchsen und Thunderbolt 3 ausfallen. Eine neue Firmware von Lenovo soll diesen Bug beheben. Eine große Anzahl an Geräten ist betroffen.

  2. Spaceway-1: Defekter US-Fernsehsatellit könnte explodieren
    Spaceway-1
    Defekter US-Fernsehsatellit könnte explodieren

    Der US-Satellitenbetreiber DirecTV hat bei der US-Regulierungsbehörde FCC eine Sondergenehmigung beantragt, um einen Satelliten unverzüglich aus seiner Umlaufbahn zu entfernen. Das irreguläre Manöver soll verhindern, dass der Satellit explodiert und zu Weltraumschrott wird.

  3. Wireless-Komponenten: Broadcom erwartet 15 Milliarden US-Dollar dank Apple
    Wireless-Komponenten
    Broadcom erwartet 15 Milliarden US-Dollar dank Apple

    Eine auf dreieinhalb Jahre ausgelegte Partnerschaft mit Apple soll rund 15 Milliarden US-Dollar Umsatz für Broadcom generieren. Der Hersteller liefert WiFi-/Bluetooth-Module und RF-Frontends für Apples iPhones.


  1. 14:34

  2. 14:12

  3. 13:47

  4. 13:25

  5. 13:12

  6. 12:49

  7. 12:01

  8. 12:00