The Art of Defense

Citrix im Fadenkreuz - eine Kurzanalyse potentieller Ziele

Seit Donnerstag letzter Woche sind diverse Citrix-Security-Appliances im Fokus von Angreifern, und dürften spätestens seit Freitag, nachdem die ersten funktionierenden Exploit-POCs veröffentlich wurden, als kompromittiert gelten.

Im Laufe des Samstags waren die ersten Scanergebnisse der potentiell verwundbaren Installationen verfügbar: allein in DE sind dies 2.500 (Stand 11.01.), von denen 3 Tage später immernoch knapp 1.900 nicht gepatcht sind.

Das Problem dabei:

you iz haxored

Wir haben uns einen Scan vom Dienstag Mittag angesehen, und dabei in den Netzen folgender prominenter Firmen und Institutionen verwundbaren Citrix-Installationen gefunden:

  • Autostadt
  • Bechtle / ASN 34125
  • BSI / ASN 49234
  • Datev / ASN 15451
  • diverse ISPs (DTAG, Vodafone, Colt, MNet, Noris, Versatel, Plusnet)
  • DFN / ASN 680
  • Deutscher Wetterdienst DWD / ASN 41289
  • Linde AG / ASN 25039
  • Merck KGAA / ASN 13167
  • SAP / ASN 12510
  • Sixt / ASN 200739
  • Skoda / ASN 31517
  • SWKN Stadtwerke Konstanz / ASN 57154
  • TÜV Rheinland / ASN 42249

Netze mit mehr als 10 verwundbaren Installationen

ASN_NR    |  Count | ASNName 
----------+--------+-----------------------------------
     3320 |    667 | DTAG Internet service provider operations, DE 
     3209 |    169 | VODANET International IP-Backbone of Vodafone, DE 
     8881 |     82 | VERSATEL, DE 
     6830 |     58 | LGI-UPC formerly known as UPC Broadband Holding B.V., AT 
     8220 |     52 | COLT, GB 
     9145 |     52 | EWETEL Cloppenburger Strasse 310, DE 
     8767 |     40 | MNET-AS Germany, DE 
    20676 |     37 | PLUSNET *****************, DE 
      680 |     29 | DFN Verein zur Foerderung eines Deutschen Forschungsnetzes e.V., DE 
     8422 |     24 | NETCOLOGNE, DE 
    25394 |     18 | MK-NETZDIENSTE-AS, DE 
    13045 |     17 | HTP-AS, DE 
    48918 |     15 | GLOBALWAYS, DE 
    42652 |     13 | DELUNET, DE 
    15763 |     12 | ASDOKOM, DE 
    48951 |     12 | ASN-TSI-IAS Internet and VPN Service Provider, DE 
    29252 |     12 | NETCOM-TSG-AS, DE 
      553 |     12 | BELWUE BelWue-Koordination, DE 
    12611 |     12 | RKOM R-KOM Regensburger Telekommunikations GmbH & Co. KG, DE 
     8426 |     11 | CLARANET-AS ClaraNET LTD, GB 
    12329 |     11 | TMR, DE 
    15943 |     11 | WTNET-AS wilhelm.tel GmbH, DE 
   198726 |     11 | KOMDSL, DE 
    12843 |     10 | TELEMAXX, DE



Fragen? Kontakt: info@zero.bs
Filed: Tue 14 January 2020 | Analysis | Tags: citrix exploits osint



Main-Links

Blog

OSS & Projects



(c) copyright 2017-2023 zeroBS GmbH, all rights reserved
info@zero.bs