1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shitrix: Das Citrix-Desaster

Shitrix Lücke ist ja nicht das eigentliche Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Sea 14.01.20 - 15:02

    verstehe ich da was falsch oder ist das vorhanden sein der Lücke nicht das Problem?
    Das die Lücke existiert, ja OK. Doof. Aber die Lücke betrifft ja nur das Admin Panel. Das dieses zum Internet hin offen ist, das ist doch das Problem. DAS bescheinigt völliges Versagen der entsprechenden IT. Das die Sicherheitslücke nicht 4 Wochen nach bekanntwerden gepatched wurde, wovon 2 auch noch Urlaubszeit waren, sehe ich nicht wirklich als Versagen an. Zumal in vielen Behörden ja nicht mal einfach irgendwas geändert werden DARF. Da gibt es ein Change Management mit einer endlosen Kette an Genehmigern, ohne deren OK mal rein gar nichts gemacht werden darf. Hier lebt der Author leider in seiner eigenen kleinen Welt.
    Ja, die Situation ist schlecht, aber sie ist nun mal so. Kann der Admin nix für

  2. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: hannob (golem.de) 14.01.20 - 15:07

    Nein, ist glaub hier doch etwas anders:
    Bei den meisten betroffenen Systemen handelt es sich um VPN-Gateways die dafür gedacht sind ins Internet offen zu sein.

    Die WAF- und Loadbalancer-Systeme sind wohl ebenfalls betroffen, aber deren Interface ist üblicherweise nur im internen Netzwerk. D.h. auch blöd aber evtl. weniger kritisch.

  3. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: sre 14.01.20 - 17:08

    Sea schrieb:
    --------------------------------------------------------------------------------
    > Zumal
    > in vielen Behörden ja nicht mal einfach irgendwas geändert werden DARF. Da
    > gibt es ein Change Management mit einer endlosen Kette an Genehmigern, ohne
    > deren OK mal rein gar nichts gemacht werden darf.

    Wer ein Change-Management praktiziert welches das zeitnahe Beheben von Sicherheitslücken in Hochrisikosystemen unterbindet hat IT nicht verstanden.
    Und überall wo das so ist stehen auch die Admins in der Verantwortung den Vorgesetzten sehr sehr deutlich klar zu machen, dass sich das SOFORT zu ändern hat.

    Deine Aussage ist das Musterbeispiel dafür was Die letzten 20 Jahre in IT Abteilungen schief gelaufen ist.
    Zum Glück verstehen mittlerweile immer mehr Unternehmen dass die IT nicht einfach nur ein lästiger Kostenfaktor sondern zentraler Überlebensfaktor ist.



    3 mal bearbeitet, zuletzt am 14.01.20 17:09 durch sre.

  4. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: 1st1 14.01.20 - 21:11

    Das ist genauso Quatsch. Wer Patches ungeprüft auf Produktiv-Systeme loslässt, ist ganz schnell der Dumme. Immer erstmal testen, gerade bei hochkritischen Systemen.

  5. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: sre 15.01.20 - 08:51

    Zeitnah != "sofort und ungetestet"
    Das ist mir eindeutig zu viel Interpretation

    Eine Reaktionszeit von über 4 Wochen ist bei hockritischen Lücken schlicht inakzeptabel.

    BTW:
    Es gibt keinen Patch, nur einen Workaround der das ganze für's Erste verhindert.

    Die einhellige Strategie in solchen Fällen wie diesem ist:
    Alle Systeme die im Internet hängen und noch nicht geschützt sind/waren sind nun als kompromittiert zu betrachten, müssen komplett vom Netz genommen und neu aufgesetzt werden.

    Aufgrund der DNS Einträge sind die Citrix Kisten super einfach zu finden.

    Aber glaubt ruhig daran, dass Change-Management mit Laufzeiten von mehreren Monaten toll ist.



    1 mal bearbeitet, zuletzt am 15.01.20 09:00 durch sre.

  6. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: AynRandHatteRecht 15.01.20 - 08:54

    sre schrieb:
    --------------------------------------------------------------------------------
    > Aufgrund der DNS Einträge sind die Citrix Kisten super einfach zu finden.

    … oder shodan.io

  7. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: sre 15.01.20 - 09:04

    AynRandHatteRecht schrieb:
    --------------------------------------------------------------------------------
    >
    > … oder shodan.io

    Das erschreckt die armen Amins immer so, dass ich es lieber nicht mehr erwähne!

  8. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Snoozel 15.01.20 - 09:26

    > Das ist genauso Quatsch. Wer Patches ungeprüft auf Produktiv-Systeme
    > loslässt, ist ganz schnell der Dumme. Immer erstmal testen, gerade bei
    > hochkritischen Systemen.

    Tut doch keiner. Dafür gibt es Emergency-Changes mit beschleunigtem Verfahren - das schließt tests aber nicht aus.

  9. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: AynRandHatteRecht 15.01.20 - 09:37

    sre schrieb:
    --------------------------------------------------------------------------------
    > AynRandHatteRecht schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > … oder shodan.io
    >
    > Das erschreckt die armen Amins immer so, dass ich es lieber nicht mehr
    > erwähne!

    Hatte Anfang 2019 mal etwas gefunden und dann über das BSI und auch eine Zeitung eskaliert. Ein regionaler WISP hatte Ubiquiti CPE deployed und seit mehreren Jahren nicht mehr aktualisiert. Die waren dann alle owned. Großes Drama. In Spanien bei nem anderen mehrere Tausend, habe an das dortige "BSI" eskaliert aber nicht mehr viel gehört.

    Dann auch noch ein paar offene ElasticSearch und Kibana-Instanzen…offenes SMB-Share einer Berliner Piloten-Schule (inkl persönlichen Daten der ATPL-Flugschüler).

    Eine Firma hat sich bei mir bedankt mit Schokolade.

    Ca 15 andere haben nicht reagiert, 1 nach Zeitung/Medien-Information. Das wars. Die Probleme wurden dann jedoch wenigsten in 1-2 Wochen stillschweigend behoben und kein Datenschützer bzw Öffentlichkeit hat je davon erfahren. So ist es hier halt üblich.

    Es hat mich depressiv werden lassen und ich habe dann einfach nicht weiter gesucht, zumal mir niemand die Zeit bezahlt. Es war nirgends ein 0-day oder ein Exploit im Spiel. Schlicht Fehlkonfiguration oder unterlassene Wartung, seit Monaten bekannte Lücken und alles mit etwas Suche über Shodan zu finden.



    1 mal bearbeitet, zuletzt am 15.01.20 09:39 durch AynRandHatteRecht.

  10. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Terins 15.01.20 - 09:44

    Ich finde das eigentliche Problem ist die Hacker Community. Alle wussten davon, alle können den Exploit ausnutzen, aber keiner kommt auf die Idee eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt, sondern schließt?! Das zeigt mir, dass es mit unserer Ethik nicht weit her ist und es eigentlich nur Anarchie im Internet gibt. Der Aufwand wäre verschwindend gering und als Notwehr zum Schutz der Wirtschaft und der Sicherheit aller durchaus gerechtfertigt.



    1 mal bearbeitet, zuletzt am 15.01.20 09:50 durch Terins.

  11. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: AynRandHatteRecht 15.01.20 - 09:45

    Terins schrieb:
    --------------------------------------------------------------------------------
    > Ich finde das eigentliche Problem ist die Hacker Community. Alle wussten
    > davon, alle können den Exploit ausnutzen, aber keiner kommt auf die Idee
    > eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt,
    > sondern schließt?!

    genau, der CCC hat versagt. /zyn

  12. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: davidcl0nel 15.01.20 - 10:32

    Terins schrieb:
    --------------------------------------------------------------------------------
    > eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt,
    > sondern schließt?!

    Ist ja nur auch verboten... Auch wenn du es gut gemeint hast, wirst du hinterher die Folgen zu tragen haben. Anklage, Haftm wasweißich.

  13. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: DasKleineTeilchen 15.01.20 - 10:47

    Terins schrieb:
    --------------------------------------------------------------------------------
    > Ich finde das eigentliche Problem ist die Hacker Community. Alle wussten
    > davon, alle können den Exploit ausnutzen, aber keiner kommt auf die Idee
    > eventuell ein Skript zu schreiben was diesen eben einmal nicht ausnutzt,
    > sondern schließt?!

    you have to be shitting me! allen.ernstens?!? erstens nicht deren aufgabe, zweitens verboten! drittens hat ja auch jede softwarebude, die software _verkauft_ und nicht open-souce ist, ihren quellode für jeden offen ins netz gestellt. mannmannmann.

    ("das _eigentliche_ problem"! wow!)



    1 mal bearbeitet, zuletzt am 15.01.20 10:49 durch DasKleineTeilchen.

  14. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: Sea 15.01.20 - 16:47

    da können sich Admins bis zum rotieren in der Verantwortung sehen. Das interessiert in so einer Behörde die oberen in der Kette einen scheiss.
    Je nach dem was da an Compliance dahinter steht sind das halt extrem starre Konstrukte.
    Wenn du da eine Untschrift dafür brauchst, um ein Feuer löschen zu dürfen, der Unterschriftberechtigte aber grad 4 Wochen im Urlaub ist, dann brennt die Bude halt ab.
    Man wünscht sich ja dass das nicht so wäre, aber so sieht die Realität leider oft aus.
    Da kann man in Foren noch so neunmalklug daher schwätzen und anfeinden.

  15. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: ibsi 16.01.20 - 10:00

    Das Problem sind die Richter und Polizisten, nicht die Kriminellen

    *lach* Sorry, aber selten so was ~interessantes ~ gelesen.

  16. Re: Shitrix Lücke ist ja nicht das eigentliche Problem

    Autor: 7bit 19.01.20 - 11:25

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Nein, ist glaub hier doch etwas anders:
    > Bei den meisten betroffenen Systemen handelt es sich um VPN-Gateways die
    > dafür gedacht sind ins Internet offen zu sein.

    Aber nur der VPN-Port, nicht das Admin-webinterface!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Impetus Unternehmensberatung GmbH, Eschborn
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. ARIBYTE GmbH, Berlin
  4. PDR-Team GmbH, Schwäbisch Gmünd

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

  1. Mobilfunk: Vodafone verdoppelt Datenrate seiner 5G-Stationen
    Mobilfunk
    Vodafone verdoppelt Datenrate seiner 5G-Stationen

    Vodafone erhält Zugriff auf seine ersteigerten Frequenzen und kann im 5G-Netz von 500 MBit/s auf 1 GBit/s erhöhen. Mittelfristig wolle man das Koaxialnetz auf bis zu 10 GBit/s aufrüsten.

  2. Matebook D14 (2020) im Test: Huaweis 700-Euro-AMD-Notebook überzeugt
    Matebook D14 (2020) im Test
    Huaweis 700-Euro-AMD-Notebook überzeugt

    Mit dem Matebook D14 bringt Huawei seinen günstigen AMD-Laptop auch nach Deutschland: Der 14-Zöller ist für den Preis passabel ausgestattet, das Display sogar heller als beworben. Vor allem aber hat Huawei den Ryzen-Prozessor gut im Griff, was Laufzeit und Leistung anbelangt.

  3. Partyfreie Zone: Airbnb bewirbt Überwachungsgeräte für Ferienwohnungen
    Partyfreie Zone
    Airbnb bewirbt Überwachungsgeräte für Ferienwohnungen

    Sie sehen aus wie Rauchmelder, messen aber die Lautstärke oder Bewegungen. Airbnb bewirbt die Überwachungsgeräte für Vermieter von Ferienwohnungen und bietet Rabatte. Ob sie wirklich für mehr Sicherheit oder eher für mehr Überwachung sorgen, ist umstritten.


  1. 12:20

  2. 12:00

  3. 11:54

  4. 11:46

  5. 11:38

  6. 11:25

  7. 10:54

  8. 10:40