Alert!

Angriffe auf Citrix-SicherheitslĂĽcke beobachtet

In der vergangenen Woche hat Citrix SicherheitslĂĽcken im Session Recording geschlossen. Nun haben IT-Forscher Angriffe darauf beobachtet.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Server, die am Netz hängen und angegriffen werden

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Die Sicherheitslücken in Citrix Session Recording, für die der Hersteller in der vergangenen Woche Software-Updates bereitgestellt hat, werden in freier Wildbahn angegriffen. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen daher schnellstmöglich installieren.

Das Internet Storm Center des SANS Institute hat nun Angriffsversuche auf die Schwachstelle auf ihren Honeypots beobachtet. Johannes Ullrich schreibt, dass er am Montag dieser Woche Exploit-Versuche entdeckt hat.

Ullrich erklärt, dass Citrix Virtual Apps and Desktops sicheren Fernzugriff auf Desktop-Anwendungen liefern soll. Es komme häufig für Arbeit aus der Ferne zum Einsatz; er habe zudem Setups in Callcentern gesehen, die damit die Workstation vom Desktop isolieren. Diese Remote Desktops laufen jedoch alle auf dem gleichen Server. Eine Rechteausweitung betreffe damit nicht nur den konkreten Desktop, sondern den Server und alle damit verbundenen Sitzungen, erklärt der IT-Sicherheitsforscher weiter.

Citrix ergänzt eine Funktion zum Aufzeichnen und Speichern von Sitzungen, die Admins bei Bedarf einsehen können. Dieses Feature nutzt eine .Net-Funktion, die Deserialisierungsschwachstellen aufweist. Die Lücke wurde etwa von den IT-Sicherheitsexperten von Watchtowr untersucht und ein Proof-of-Concept-Exploit auf Github veröffentlicht.

Den haben nun Angreifer offenbar aufgegriffen und verwendet, um damit verwundbare Instanzen zu attackieren. Der Exploit benötigt laut Ullrich keine vorherige Authentifizierung. Die in dem Exploit verwendete URL zum Herunterladen eines Skripts lieferte jedoch einen HTTP-404-Fehler (nicht gefunden) zurück, eine weitere Analyse des Angriffs war damit nicht möglich.

Um nicht Gefahr zu laufen, Opfer solcher Attacken in freier Wildbahn zu werden, sollten die Aktualisierungen umgehend angewendet werden.

Citrix hat in der vergangenen Woche gleich mehrere Schwachstellen in unterschiedlichen Produkten geschlossen. Neben Netscaler ADC und Netscaler Gateway gab es Softwareflicken für Virtual Apps and Desktops. In der Zwischenzeit hat Citrix die Sicherheitsnotiz dazu geändert und präzisiert, dass Citrix Session Recording betroffen ist.

(dmk)