1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Shitrix: Das Citrix-Desaster

Starker Tobak!

  1. Thema

Neues Thema Ansicht wechseln


  1. Starker Tobak!

    Autor: 1st1 14.01.20 - 15:43

    Citrix ist kein "fragwürdiger Hersteller" und wenn man die Netscaler wegnehmen würde, können so manche Unternehmen einpacken, weil externe Mitarbeiter, Home-Office und ähnliches nicht mehr geht. Netscaler lassen sich auch intern als Loadbalancer einsetzen, für alles mögliche, SQL, Webserver, Exchange, ... (Ok, wenns intern ist, dann ist es nicht so kritisch) Außerdem hat Citrix eine Anleitung veröffentlich, mit der man provisorisch absicher kann, und laut dem Test-Tool (Link siehe gleich) funktioniert das auch. Und Best Practize ist eh, den Netscaler in 1-2 DMZ zu stellen, und von dort aus nur die Ports nach innen durchzureichen, die dürfen, z.B. Citrix ICA. Man kann dann zwar immer noch Cryptominers auf dem Ding laufen lassen, aber ins interne Netz kommt man so nicht weiter.

    PHP-Script, um die Netscaler auf Verwundbarkeit zu checken: https://github.com/cisagov/check-cve-2019-19781/blob/develop/README.md

    # cve-2019-19781 xxxxx.xxxxx.de
    2020-01-14 08:34:22,434 INFO xxxxx.xxxxx.de does not appear to be vulnerable.

    # cve-2019-19781 yyyyy.yyyy.de
    2020-01-14 08:42:46,231 WARNING yyyyyy.yyyyy.de appears to be vulnerable.

    (Der erste gehört uns, der zweite, keine Ahnung...)

    Fragwürdig sind die Firmen, die die Absicherung nicht gemacht haben und die professionellen IT-Medien, die erst zu Silvester oder gar danach von so einer kritischen Lücke geschrieben haben, die eigentlich bereits seit dem 17.Dez. bekannt ist. Und dann so einen Radau machen, wie dieser News-Artikel jetzt. Ich habe den Vorfall genutzt, um mich selbst bei Citrix für die Security-Newsletter zu registrieren. Auf IT-Portale für Profis ist einfach kein Verlass. Wie gut, dass die Hacker scheinbar auch nicht die Primärquellen nutzen, sondern auch nur IT-Portale für Profis lesen.

  2. Re: Starker Tobak!

    Autor: AynRandHatteRecht 14.01.20 - 16:02

    1st1 schrieb:
    --------------------------------------------------------------------------------
    > Citrix ist kein "fragwürdiger Hersteller" und wenn man die Netscaler
    > wegnehmen würde, können so manche Unternehmen einpacken, weil externe
    > Mitarbeiter, Home-Office und ähnliches nicht mehr geht.

    Ja, die Unternehmen pfeiffen jetzt schon auf dem "letzten Loch" und haben zu fertigen Lösungen oder managed Services (Cloud) keine Alternative mehr.

    Aber konkret: Citrix hat es schon verbockt, weil sie den üblichen Weg eines Patches (noch) nicht gegangen sind. Wer also brav automatisiert, wird weiterhin verwundbar sein. Vermutlich beschränkt der Workaround Edge-Cases und Citrix hat es sich zu einfach gemacht und das Abwägen/Entscheiden den Nutzern überlassen.

    Kein Ausrede für Admins zu schlafen, erst recht keine Ausrede fürs IT-Management solche Fälle und Vorgehensweisen nicht bedacht zu haben oder überhaupt keine Pläne zu haben.

  3. Re: Starker Tobak!

    Autor: David64Bit 14.01.20 - 16:26

    AynRandHatteRecht schrieb:
    --------------------------------------------------------------------------------
    > Aber konkret: Citrix hat es schon verbockt, weil sie den üblichen Weg eines
    > Patches (noch) nicht gegangen sind. Wer also brav automatisiert, wird
    > weiterhin verwundbar sein. Vermutlich beschränkt der Workaround Edge-Cases
    > und Citrix hat es sich zu einfach gemacht und das Abwägen/Entscheiden den
    > Nutzern überlassen.

    Die "Nutzer" sind vollwertige IT-Admins. Wer einen Netscaler bedienen kann bzw. konfigurieren kann, der hat Ahnung und muss auch wissen, wie Patchmanagement geht. Tut er das nicht, macht er seinen Job nicht richtig.

    Der "Workaround" ist der Fix. Wie bei allem was Citrix angeht, gibt es weder irgendwelche Automatischen Updates oder sonst irgend einen Schrott, den man sich in Redmont möglicherweise abgucken könnte.

    Patches müssen bei Citrix manuell installiert werden - selbst die Workspace App muss "manuell" Aktualisiert werden.

    Und zu all dem kann ich nur sagen: Zum Glück! Der User hat hier nicht an Updates herumzufummeln, Ende.

    > Kein Ausrede für Admins zu schlafen, erst recht keine Ausrede fürs
    > IT-Management solche Fälle und Vorgehensweisen nicht bedacht zu haben oder
    > überhaupt keine Pläne zu haben.

    Nein - und auch keine Ausrede Citrix den schwarzen Peter zuzuschieben.

  4. Re: Starker Tobak!

    Autor: deutscher_michel 14.01.20 - 17:03

    Wenn der Workaround der Fix sein soll dann sollte man schleunigst alle Citrix Systeme entsorgen und nie wieder über die Firma sprechen.
    Dem ist aber nicth so. Der Workaround ist ein Workaround und kein Fix - der Fix kommt aber von Citrix erst in einigen Wochen - nach der aktuellen Planung.

    https://www.itpro.co.uk/security/cyber-security/354517/citrix-patch-for-serious-flaw-wont-arrive-for-weeks

  5. Re: Starker Tobak!

    Autor: tomatentee 14.01.20 - 17:43

    Also sorry, eine Firma die es nicht schafft, eine kritische, in-the-wild exploitete Lücke in ihrem Produkt binnen einem Monat(!) zu patchen ist aber sowas von fragwürdig.

  6. Re: Starker Tobak!

    Autor: 1st1 14.01.20 - 20:55

    Der Workarround hilft, Das Testtoll meldet kein Problem und unsere Netscaler wurden bisher nicht gehackt. Und das obwohl man die mit den richtigen Suchbegriffen sogar über Google findet.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DZ HYP AG, Hamburg
  2. Wissenschaftsstadt Darmstadt, Darmstadt
  3. Stadtverwaltung Eisenach, Eisenach
  4. über duerenhoff GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

  1. Wikileaks: Worum es im Fall Assange nun geht
    Wikileaks
    Worum es im Fall Assange nun geht

    Geheimnisverrat, Leben in der Isolation, Anklage in den USA, Foltervorwürfe: Die Auslieferungsanhörung von Wikileaks-Gründer Julian Assange beginnt. Im Artikel beantworten wir die wichtigsten Fragen.

  2. Zahlungsabwickler: Protest gegen Massenentlassungen bei Paypal Deutschland
    Zahlungsabwickler
    Protest gegen Massenentlassungen bei Paypal Deutschland

    Die Beschäftigten von Paypal Deutschland wollen den Abbau von über 300 Arbeitsplätzen nicht hinnehmen. Die Jobs sollen an andere Standorte oder an externe Partner gehen.

  3. DSGVO: Iren sollen Facebook an EU-Datenschützer abgeben
    DSGVO
    Iren sollen Facebook an EU-Datenschützer abgeben

    Bei der irischen Datenschutzbehörde laufen seit 2018 elf Untersuchungen gegen Facebook. Dass noch keine Entscheidungen gefallen sind, bemängeln Politiker und Datenschützer gleichermaßen.


  1. 18:08

  2. 18:01

  3. 17:07

  4. 16:18

  5. 15:59

  6. 14:36

  7. 14:14

  8. 13:47