FM4-Logo

jetzt live:

Aktueller Musiktitel:

Software Symbolbild

Pixabay / CC0

Erich Moechel

Immer mehr Citrix-Systeme mit Schadsoftware verseucht

Viele der untersuchten Citrix-Systeme waren bereits mit Schadprogrammen verseucht. Auch das österreichische ELAK-System wurde erst mit drei Wochen Verspätung abgesichert. IT-Sicherheitsexperte Manuel Atug im Gespräch.

Von Erich Moechel

Für die verheerende Sicherheitslücke in Citrix-Systemen sind erste „Patches“ des Herstellers erschienen, von Entwarnung kann aber keine Rede sein. Eine genauere Analyse der „NetScaler Gateways“ von Citrix bei Kunden habe gezeigt, dass viele bereits kompromittiert waren, sagte der IT-Sicherheitsexperte Manuel Atug zur ORF.at. Atug rät dringend dazu, die betreffenden Citrix-Systeme beim geringsten Verdacht völlig neu aufzusetzen, das holländische Cyber Security Zentrum empfiehlt Ähnliches.

Auch wenn die Kompromittierungen auf gewöhnliche Kriminelle hindeuten, ist das kaum beruhigend. Wenn nämlich Kriminelle ein solches Sicherheitsloch entdecken, dann waren staatliche Akteure in der Regel schon vorher drin, um ein unscheinbares Stück Schadsoftware abzusetzen. In Österreich wurden hunderte Citrix-Systeme um Wochen zu spät abgesichert, darunter ist auch das ELAK-System des elektronischen Amtsverkehrs.

Citrix Login

AG Kritis

So unspektakulär präsentiert sich der Login-Screen einer Citrix-Maschine auf der Kommandozeile. Der Screenshot stammt von der AG Kritis, einem Zusammenschluss von unabhängigen, am Gemeinwohl orientierten Sicherheitsexperten, die auf die verschiedenen Bereiche der kritischen Infrastruktur spezialisert sind. Darunter sind allerhand illustre Namen aus der deutschen IT-Sicherheitsbranche.

Am 13. Jänner, einem Montag, wurde das ELAK-System vom Netz genommen. Durch ein kapitales Sicherheitsloch stand der elektronische Amtsverkehr sperrangelweit offen, insgesamt drei Wochen lang.

„Grob fahrlässig, Bankrotterklärung“

Bei Citrix verwies man auf Anfrage von ORF.at auf die nun vorliegenden Patches für mehrere Versionen des Betriebssystems. Zudem habe man zusammen mit der Sicherheitsfirma FireEye ein Scan-Programm „für Gefährdungsindikatoren“ veröffentlicht. „Während des gesamten Prozesses haben wir das Feedback unserer Kunden ernst genommen und beim Bedarf Anpassungen vorgenommen und werden weiterhin eng mit den Kunden zusammenarbeiten, um sie beim Migrations- und Patch-Prozess zu unterstützen“, hieß von Citrix noch. Verbunden mit dem Hinweis, dass es dazu derzeit keine weiteren Auskünfte gebe.

Manuel Atug

Manuel Atug

Sicherheitsexperte Atug, der beruflich auch in die Absicherung von Citrix-Installationen involviert ist, kann diese Aussage überhaupt nicht nachvollziehen. „Dass Citrix hier weder Partner informiert hat, noch aktiv auf die Kunden zugegangen ist und diese informiert hat würde ich generell bei der Schwere dieses Problems als grob fahrlässig einstufen“, so Atug zu ORF.at, eigentlich sei das eine Bankrotterklärung. Diese Systeme sind nämlich kein Add-On, sondern gehören zur kritischen Infrastruktur nicht nur Österreichs. Dazu passt auch die Informationspolitik des Unternehmens. Kontakdaten für E-Mail waren nicht auffindbar. An den Rufnummern in Österreich der Firma hob schlichtweg niemand ab, es gab auch keine Möglichkeit, eine Nachricht zu hinterlassen. In der deutschen Zentrale passierte genau dasselbe, die Durchwahl an die Technik war durch eine dafür erforderliche Kundennummer blockiert. Die einzige Möglichkeit, eine Nachricht zu hinterlassen, bot letztlich die Verkaufsabteilung.

Am Freitag veröffentlichte Citrix die letzten Sicherheitspatches, die nun für alle Versionen des Betriebssystems vorliegen.. Davor hatte Citrix zusammen mit der Sicherheitsfirma FireEye ein freies Sicherheitstool veröffentlicht und alle Kunden dazu aufgerufen, ihre Systeme damit zu scannen, um mögliche Kompromittierungen zu erkennen

„Von Kompromittierung ist auszugehen“

Über eine ältere Sicherheitslücke in VPN-Gateways anderer Hersteller werden aktuell laufend Firmen überfallen und mit Verschlüsselung der Daten erpresst

Wie gravierend diese Sicherheitslücke ist, zeigt sich am Beispiel der Niederlande. Am Wochenende wurden sämtliche Citrix Installationen des Staats und der Behörden aus Sicherheitsgründen deaktiviert. Die Arbeiten dauerten den ganzen Montag über an, die Folge waren lange Staus, weil es durch die fortgeschrittene Digitalisierung in den Niederlanden eine große Zahl von Teleworkern gibt. Die waren am Montag alle auf der Straße, weil die VPN-Einwahlsysteme nicht funktionierten.

„Wenn sie den Workaround nach dem 9.Jänner eingespielt haben, können sie davon ausgehen, dass ihre Citrix-Systeme kompromittiert sind,“ heißt es dazu trocken in den Empfehlungen des niederländischen Zentrums für Cybersicherheit. Das österreichische ELAK-System wurde erst 13. Jänner mit einem Provisorium des Herstellers gesichert. Dieser Workaround dürfte zudem bei mehreren neueren Versionen des Citrix-Betriebssystems nicht wirksam sein. Deshalb rät Manuel Atug von der AG Kritis, die VPN-Gateways und Lastverteiler von Citrix im Zweifelsfall völlig neu aufzusetzen.

Screenshot

public

Diese ist eines der frühesten aufgefundenen Beispiele für Cron-Jobs, die illegal auf Citrix-Maschinen eingerichtet wurden. Dieser Screenshot wurde am selben Tag aufgenommen, als das ELAK abgeschaltet wurde.

Crypto-Miner und Cron-Jobs

Bereits im Juni 2019 war die erste Welle von Einbrüchen über die VPN-Gateways anderer Hersteller von den USA nach Europa übergeschwappt

In einem der untersuchten Firmennetzen seien plötzlich „Crypto-Miner aufgefallen“, so Atug zu ORF.at, die über die Citrix-Maschine ins interne Netz gekommen waren. An sich sind Crypto-Miner nicht wirklich gefährlich - sie stehlen nur Rechenzeit, um Bitcoins et al zu erzeugen - allerdings waren auf den Citrix-Maschinen auch sogenannte Cron-Jobs eingerichtet. Die starten auf Unix-Derivaten wie Linux oder - in diesem Fall - BSD zu programmierten Uhrzeiten beliebige Routinen. So können beispielsweise Scripts auf der betreffenden Maschine automatisch gestartet werden.

Beunruhigenderweise kursieren im Netz allerdings Screenshots, die Cron-Jobs von Citrix Maschinen zeigen, die darauf programmiert sind, Verbindungen zu nicht näher bekannten Servern aufzubauen. In dieser Kakophonie von Schadsoftware ist den Sicherheitsforschern von FireEye ein Akteur besonders aufgefallen. Der installiert auf nicht-gepatchten Maschinen ein Hilfsprogramm, das von FireEye „Notrobin“ genannt wird. Dieses Script entfernt andere, bereits vorhandene Schadsoftware und verhindert jede Neuinfektion.

Screenshot

public

Am Freitag waren weltweit noch immer weit über 16.000 große Citrx-Installationen über die einschlägig spezialisierte Suchmaschine Shodan auffindbar.

Unvermeidliche Konsequenzen

Notrobin ist allerdings kein Wohltäter, sondern installiert selbst eine Hintertür, und über die will Notrobin natürlich ganz allein verfügen. FireEye geht davon aus, dass hier jemand Zugänge in großem Stil zu großen Netzen sammelt. Genau das macht zum Beispiel die NSA, wie seit den Snowdenschen Enthüllungen bekannt ist, da hatte man mit 50.000 „Implants“ in ebensovielen großen Netzen geprahlt. Dasselbe praktizieren auch alle anderen Geheimdienste von Rang. Diese Gefahr wird generell völlig unterschätzt, weil eine solche Kompromittierung vorerst keine Konsequenzen hat. Ohne nun eine kausale Verknüpfung zu insinuieren, sei abschließend darauf hingewiesen, dass im Netz des Außenministeriums eine der großen Citrix-Installationen in Österreich läuft. Der Cyberangriff auf das Außenministerium ist nach drei Wochen noch immer nicht vollständig abgewehrt.

mehr Netzpolitik:

Aktuell: