1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shitrix: Das Citrix-Desaster

Starker Tobak!

  1. Thema

Neues Thema Ansicht wechseln


  1. Starker Tobak!

    Autor: 1st1 14.01.20 - 15:43

    Citrix ist kein "fragwürdiger Hersteller" und wenn man die Netscaler wegnehmen würde, können so manche Unternehmen einpacken, weil externe Mitarbeiter, Home-Office und ähnliches nicht mehr geht. Netscaler lassen sich auch intern als Loadbalancer einsetzen, für alles mögliche, SQL, Webserver, Exchange, ... (Ok, wenns intern ist, dann ist es nicht so kritisch) Außerdem hat Citrix eine Anleitung veröffentlich, mit der man provisorisch absicher kann, und laut dem Test-Tool (Link siehe gleich) funktioniert das auch. Und Best Practize ist eh, den Netscaler in 1-2 DMZ zu stellen, und von dort aus nur die Ports nach innen durchzureichen, die dürfen, z.B. Citrix ICA. Man kann dann zwar immer noch Cryptominers auf dem Ding laufen lassen, aber ins interne Netz kommt man so nicht weiter.

    PHP-Script, um die Netscaler auf Verwundbarkeit zu checken: https://github.com/cisagov/check-cve-2019-19781/blob/develop/README.md

    # cve-2019-19781 xxxxx.xxxxx.de
    2020-01-14 08:34:22,434 INFO xxxxx.xxxxx.de does not appear to be vulnerable.

    # cve-2019-19781 yyyyy.yyyy.de
    2020-01-14 08:42:46,231 WARNING yyyyyy.yyyyy.de appears to be vulnerable.

    (Der erste gehört uns, der zweite, keine Ahnung...)

    Fragwürdig sind die Firmen, die die Absicherung nicht gemacht haben und die professionellen IT-Medien, die erst zu Silvester oder gar danach von so einer kritischen Lücke geschrieben haben, die eigentlich bereits seit dem 17.Dez. bekannt ist. Und dann so einen Radau machen, wie dieser News-Artikel jetzt. Ich habe den Vorfall genutzt, um mich selbst bei Citrix für die Security-Newsletter zu registrieren. Auf IT-Portale für Profis ist einfach kein Verlass. Wie gut, dass die Hacker scheinbar auch nicht die Primärquellen nutzen, sondern auch nur IT-Portale für Profis lesen.

  2. Re: Starker Tobak!

    Autor: AynRandHatteRecht 14.01.20 - 16:02

    1st1 schrieb:
    --------------------------------------------------------------------------------
    > Citrix ist kein "fragwürdiger Hersteller" und wenn man die Netscaler
    > wegnehmen würde, können so manche Unternehmen einpacken, weil externe
    > Mitarbeiter, Home-Office und ähnliches nicht mehr geht.

    Ja, die Unternehmen pfeiffen jetzt schon auf dem "letzten Loch" und haben zu fertigen Lösungen oder managed Services (Cloud) keine Alternative mehr.

    Aber konkret: Citrix hat es schon verbockt, weil sie den üblichen Weg eines Patches (noch) nicht gegangen sind. Wer also brav automatisiert, wird weiterhin verwundbar sein. Vermutlich beschränkt der Workaround Edge-Cases und Citrix hat es sich zu einfach gemacht und das Abwägen/Entscheiden den Nutzern überlassen.

    Kein Ausrede für Admins zu schlafen, erst recht keine Ausrede fürs IT-Management solche Fälle und Vorgehensweisen nicht bedacht zu haben oder überhaupt keine Pläne zu haben.

  3. Re: Starker Tobak!

    Autor: David64Bit 14.01.20 - 16:26

    AynRandHatteRecht schrieb:
    --------------------------------------------------------------------------------
    > Aber konkret: Citrix hat es schon verbockt, weil sie den üblichen Weg eines
    > Patches (noch) nicht gegangen sind. Wer also brav automatisiert, wird
    > weiterhin verwundbar sein. Vermutlich beschränkt der Workaround Edge-Cases
    > und Citrix hat es sich zu einfach gemacht und das Abwägen/Entscheiden den
    > Nutzern überlassen.

    Die "Nutzer" sind vollwertige IT-Admins. Wer einen Netscaler bedienen kann bzw. konfigurieren kann, der hat Ahnung und muss auch wissen, wie Patchmanagement geht. Tut er das nicht, macht er seinen Job nicht richtig.

    Der "Workaround" ist der Fix. Wie bei allem was Citrix angeht, gibt es weder irgendwelche Automatischen Updates oder sonst irgend einen Schrott, den man sich in Redmont möglicherweise abgucken könnte.

    Patches müssen bei Citrix manuell installiert werden - selbst die Workspace App muss "manuell" Aktualisiert werden.

    Und zu all dem kann ich nur sagen: Zum Glück! Der User hat hier nicht an Updates herumzufummeln, Ende.

    > Kein Ausrede für Admins zu schlafen, erst recht keine Ausrede fürs
    > IT-Management solche Fälle und Vorgehensweisen nicht bedacht zu haben oder
    > überhaupt keine Pläne zu haben.

    Nein - und auch keine Ausrede Citrix den schwarzen Peter zuzuschieben.

  4. Re: Starker Tobak!

    Autor: deutscher_michel 14.01.20 - 17:03

    Wenn der Workaround der Fix sein soll dann sollte man schleunigst alle Citrix Systeme entsorgen und nie wieder über die Firma sprechen.
    Dem ist aber nicth so. Der Workaround ist ein Workaround und kein Fix - der Fix kommt aber von Citrix erst in einigen Wochen - nach der aktuellen Planung.

    https://www.itpro.co.uk/security/cyber-security/354517/citrix-patch-for-serious-flaw-wont-arrive-for-weeks

  5. Re: Starker Tobak!

    Autor: tomatentee 14.01.20 - 17:43

    Also sorry, eine Firma die es nicht schafft, eine kritische, in-the-wild exploitete Lücke in ihrem Produkt binnen einem Monat(!) zu patchen ist aber sowas von fragwürdig.

  6. Re: Starker Tobak!

    Autor: 1st1 14.01.20 - 20:55

    Der Workarround hilft, Das Testtoll meldet kein Problem und unsere Netscaler wurden bisher nicht gehackt. Und das obwohl man die mit den richtigen Suchbegriffen sogar über Google findet.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Evangelische Landeskirche in Württemberg, Stuttgart
  2. Stromnetz Hamburg GmbH, Hamburg
  3. Stadtverwaltung Eisenach, Eisenach
  4. PDR-Team GmbH, Schwäbisch Gmünd

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-70%) 2,99€
  2. (u. a. Die Sims 4 für 9,99€, Inselleben für 19,99€, An die Uni! für 19,99€, Vampire für...
  3. 11,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

  1. EU-Kommission: Behördenmitarbeiter sollen Signal verwenden
    EU-Kommission
    Behördenmitarbeiter sollen Signal verwenden

    Nach Datenpannen und Spionage setzt die EU-Kommission auf den Messenger Signal. Allerdings kann der Messenger nicht zur Kommunikation mit dem EU-Parlament eingesetzt werden - dort verbietet die IT-Abteilung die Installation und verweist auf Whatsapp.

  2. Shopify: Libra Association bekommt neues Mitglied
    Shopify
    Libra Association bekommt neues Mitglied

    Nach zahlreichen prominenten Abgängen im letzten Jahr bekommt Facebooks Digitalwährung Libra neuen Schwung: Die E-Commerce-Plattform Shopify tritt dem Projekt bei. Damit könnten rund eine Million Händler die Digitalwährung nutzen, sofern sie wie angekündigt dieses Jahr kommt.

  3. Akkumangel: Audi muss E-Tron-Produktion unterbrechen
    Akkumangel
    Audi muss E-Tron-Produktion unterbrechen

    Audi kann zeitweise den E-Tron nicht mehr bauen. Der Grund: Das Unternehmen hat nicht genügend Akkus. 2019 wurden 25.000 Fahrzeuge gebaut, für 2020 sind eigentlich 80.000 Stück geplant.


  1. 14:24

  2. 13:37

  3. 13:12

  4. 12:40

  5. 19:41

  6. 17:39

  7. 16:32

  8. 15:57