CitrixBleed erst nach zwei Wochen gepatcht: 36 Millionen Kundendaten abgegriffen
Ein US-Provider hat sich fast zwei Wochen Zeit gelassen, um die kritische LĂĽcke in Citrix-Software zu patchen. Da waren aber bereits massenhaft Daten weg.
Weil der US-Provider Xfinity 13 Tage gebraucht hat, um einen Patch gegen die als CitrixBleed bekannt gewordene kritische Schwachstelle zu verbreiten, konnten Nutzerdaten zu fast 36 Millionen Kunden und Kundinnen abgegriffen werden. Das geht aus Mitteilungen hervor, die die Konzerntochter von Comcast beim Justizministerium im US-Bundesstaat Maine eingereicht hat. Darin wird daran erinnert, dass Citrix am 10. Oktober auf die Schwachstelle (CVE-2023-4966) aufmerksam und einen Patch bereitgestellt hat. Betroffen waren demnach auch Geräte von Xfinity. Am 23. Oktober habe Citrix weitere Gegenmaßnahmen beschrieben. Die Mitteilung von Xfinity legt nahe, dass erst dann die Patches ausgespielt wurden – zwei Wochen nach der Offenlegung der Lücken. Da war es aber bereits zu spät.
Dutzende Millionen Nutzerdaten
Xfinity schreibt zwar, dass man "prompt gepatcht" und die Systeme abgesichert habe, das passt aber nicht zu den Ausführungen. So gesteht der Konzern ein, dass bereits am 10. Oktober ein Patch bereitgestanden habe. "Vor der Behebung" habe es aber zwischen dem 16. und 19. Oktober unautorisierten Zugriff zu einigen internen Systemen gegeben, bei denen die Schwachstelle ausgenutzt worden sei. Eine anschließende Untersuchung habe ergeben, dass Nutzernamen und gehashte Passwörter für die gesamte Kundschaft abgegriffen wurden, für "einige Kunden" darüber hinausgehende Daten – darunter Namen, Kontaktdaten, Teile der Sozialversicherungsnummer, Geburtstag und Sicherheitsfragen inklusive der Antworten.
Als Reaktion würden alle Kunden und Kundinnen nun aufgefordert, ihr Passwort zu ändern, außerdem rät Xfinity "dringend" dazu, Zwei-Faktor-Authentifizierung zu aktivieren. Sobald es weitere Informationen gibt, will Xfinity die öffentlich machen. Mit dem Eingeständnis weiten sich die Folgen der CitrixBleed-Lücke weiter aus. Die erlaubt es, bei betroffener Software die Anmeldung zu umgehen und auf Systeme zuzugreifen. Zu den Opfern gehören bislang bereits Toyota und das Klinikum Esslingen. Die erst jetzt bekannt gewordenen Vorgänge bei Xfinity zeigen aber, dass das gesamte Ausmaß womöglich noch lange nicht überschaubar ist.
(mho)