Seit dem 11.01.2020 führt Alpha Strike Labs der Limes Security GmbH Scans nach anfälligen Citrix-Systemen mit der Schwachstelle CVE-2019-19781 durch, die laut aktuellen Medienberichten und Twitter-Kommentaren bereits aktiv ausgenutzt wird. Für die Scan-Erfassung nutzen sie das DCS-Scan-Netzwerk mit über 1000 verschiedenen Suchknoten [1], das auf dem CCCamp 2019 vorgestellt wurde.
Eine chronologische Analyse zeigt, dass Deutschland, die Schweiz und die Niederlande bis zum 21. Januar 2020 etwa 85-90 % der ursprünglich anfälligen Citrix-Server gepatcht haben. Andere Länder wie China, Frankreich und die USA erreichen hingegen nur eine Patch-Rate von 24-56 %. Am 11.01. gab es weltweit 49.492 anfällige Citrix-Server und am 21.01. waren es noch 18.620 anfällige Systeme.
In Deutschland waren etwa 24 Stunden nach Bereitstellung des Citrix-Patches „nur“ noch etwa 800 und in Österreich 137 vom Internet frei zugängliche Citrix-Server von der Schwachstelle betroffen.
Während am ersten Scan-Zeitpunkt am 11.01.2020 in Deutschland, Österreich und der Schweiz (DACH-Region) noch 171 Kliniken und Krankenhäuser betroffen waren, waren es etwa 5 Tage später nur noch 31 Citrix-Instanzen und weitere 5 Tage später nur noch 6 anfällige Systeme. Jedoch waren zum ersten Scan-Zeitpunkt auch über 140 Energieversorger wie Stadtwerke betroffen. Zum aktuellen Zeitpunkt (21.01.2020) gibt es noch 21 Versorgungsunternehmen, die einen anfälligen Citrix-Dienst aufweisen.
Ein großes Problem stellt auch der öffentliche Sektor dar, zu dem vor allem die Landes- und Bundesbehörden gehören. Hier waren am 11.01. noch 212 Server betroffen und aktuell sind es nur noch 21 Server. Berücksichtigt man, dass der erste Scan etwa 3 Wochen nach Bekanntwerden der Schwachstelle Mitte Dezember durchgeführt wurde, zeigt dies, dass auch die öffentliche Verwaltung in der DACH-Region im Bereich Patch- oder Sicherheitsmanagement noch Nachholbedarf hat.
Spurensuche
Die Analysen zeigen jedoch große Unterschiede zwischen den Ländern hinsichtlich der Patch-Zeit. Die Ursachen hierfür sind sehr schwer zu untersuchen. Betrachtet man jedoch die Länder mit Google-Suchanfragen nach der Citrix-Schwachstelle mit der CVE-Nummer „cve-2019-19781“, so ist sofort ersichtlich, dass die Länder mit dem höchsten Patch-Level von 90 %, die Schweiz und die Niederlande, auch die Länder mit den meisten Suchanfragen zu dieser Schwachstelle sind.
Des Weiteren ist schnell zu erkennen, dass ab dem 13.01.2020 das Interesse der Google-Nutzer an der Schwachstelle deutlich zugenommen hat. Gleichzeitig zeigen die Scan-Daten, dass nach dem 13.01.20 auch der Schutz der Systeme erheblich gestiegen ist. Dies hängt sicherlich auch mit der verstärkten Medienberichterstattung zusammen.
Fazit
Es ist ein gutes Zeichen, dass viele Systeme diese Schwachstelle nicht mehr aufweisen, aber es ist auch erschreckend, wie lange es dauert, den Patch oder Hotfix bei den Betreibern dieser Systeme weltweit anzuwenden. Das Limes Security Team bietet weitere Informationen zu diesem Fall und wie Sie schnell reagieren können – kontaktieren Sie uns!
