Angreifer haben derzeit eine „kritische“ Sicherheitslücke in Citrix NetScaler ADC und Gateway im Visier und attackieren Instanzen. Sicherheitsupdates sind verfügbar. Für einige Versionen ist aber der Support ausgelaufen.

Angreifbare Versionen

In einer Warnmeldung erläutern die Entwickler, dass die folgenden Versionen über die Schwachstelle (CVE-2025-6543 / EUVD-2025-19085, CVSS 9.2, Risiko „kritisch„) angreifbar sind:

• NetScaler ADC und NetScaler Gateway 14.1
• NetScaler ADC und NetScaler Gateway 13.1
• NetScaler ADC 13.1-FIPS und NDcPP
• NetScaler ADC und NetScaler Gateway 13.0
• NetScaler ADC und NetScaler Gateway 12.1

Die Ausgaben 13.1-37.236-FIPS und NdcPP, 13.1-59.19 und 14.1-47.46 sind gegen die laufenden Attacken abgesichert. Für die Versionen 12.1 und 13.0 ist der Support ausgelaufen und es gibt keine Sicherheitsupdates mehr. Diese Ausgaben bleiben also verwundbar und Admins müssen ein Upgrade auf eine noch unterstützte Version durchführen.

Admins von On-premise-Instanzen sollten die Updates umgehend installieren. Die von Citrix gemanageten Cloudinstanzen sind eigenen Angaben zufolge bereits abgesichert. Die Entwickler weisen darauf hin, dass Secure Private Access On-Prem- oder Secure Private Access Hybrid-Implementierungen, die NetScaler-Instanzen verwenden, ebenfalls von der Sicherheitslücke betroffen sind.

Hintergründe

Die Entwickler führen aus, dass Instanzen nur angreifbar sind, wenn NetScaler als Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) oder AAA-Virtual-Server konfiguriert ist. Ist das gegeben, können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen, was zu DoS-Zuständen führt. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt.

Erst vor wenigen Tagen sorgte der Hersteller von Netzwerkprodukten mit CitrixBleed 2 für Schlagzeilen.

(des)

Angreifer attackieren mehrere Sicherheitslücken in freier Wildbahn, warnt die US-amerikanische IT-Sicherheitsbehörde CISA. Am gefährlichsten sind laufende Angriffe auf die Fernwartungsfirmware in AMI MegaRAC, die etwa in Servern von Asus, Asrock Rack, HPE oder Lenovo steckt. Zudem laufen Angriffe auf Sicherheitslecks in D-Links DIR-859-Routern sowie auf eine uralte FortiOS-Firmware-Hintertür.

In einer Sicherheitsmeldung warnt die CISA vor den laufenden Attacken und erklärt, sie dem „Known Exploited Vulnerabilities“-Katalog, kurz KEV, hinzugefügt zu haben. Für US-Behörden ist das ein Handlungsbefehl, aber auch für IT-Verantwortliche in Deutschland, Österreich und der Schweiz sollte das ein Weckruf sein, Gegenmaßnahmen wie Firmware- und Software-Updates auszuführen.

Angegriffene Fernwartungs-Firmware-Lücke

Die bereits attackierte Sicherheitslücke in der Fernwartungsfirmware AMI MegaRAC wurde Mitte März bekannt. Diese Firmware läuft auf Baseboard Management Controllern (BMCs) von Servern unter anderem von Asus, Asrock Rack, HPE und Lenovo. Sie hat den maximalen CVSS-Wert 10.0 von 10 erreicht, gilt daher als höchst kritisches Risiko. Sie steckt dort in einem Modul für die Fernwartungs-API Redfish und wurde daher als „Redfish Authentication Bypass“ bezeichnet: Es lässt sich die Anmeldung der Fernwartung umgehen (CVE-2024-54085 / EUVD-2024-54252, CVSS 10.0, Risiko „kritisch„). AMI hat den Serverherstellern Informationen und Patches bereitgestellt, diese mussten sie jedoch erst in ihre Firmwares einbauen und Admins die Aktualisierungen schließlich auch anwenden.

Das ist offenbar zumindest in Teilen nicht geschehen, sodass Server-Systeme mit AMI MegaRAC auch jetzt noch verwundbar sind. Möglicherweise haben Admins auch die „Best Practices“ ignoriert oder übersehen, dass die BIOS-Einstellungen die Fernwartung standardmäßig aktivieren und zugleich Zugriff über die für Nutzdaten gedachten Netzwerkbuchsen aktivieren, anstatt sie lediglich für ein separates Wartungsnetzwerk einzuschränken. Diese sind zudem in vielen Fällen sogar im Internet exponiert.

Außerdem steht eine Schwachstelle in den D-Link-Routern DIR-859 unter Beschuss, die der Hersteller abweichend vom CVSS-Wert Anfang 2024 als kritisch eingestuft hat (CVE-2024-0769 / EUVD-2024-16557, CVSS 5.3, Risiko „mittel„). Sicherheitslücken in diesen Routern wurden jedoch bereits Mitte 2023 attackiert, vom Mirai-Botnet. Erschreckende Erkenntnis: Bereits damals waren die Geräte am End-of-Life angelangt und sollten durch noch vom jeweiligen Hersteller unterstützte Hardware ersetzt werden. Offenbar setzen einige Organisationen sie aber immer noch ein.

Das können beobachtete Angriffe auf eine Fortinet-FortiOS-Schwachstelle aber noch übertreffen: Bereits seit 2019 war bekannt, dass ein hartkodierter kryptografischer Schlüssel sensible Daten in Konfigurations-Backups verschlüsselt, wodurch Angreifer diese leicht mit Kenntnis des Schlüssels entschlüsseln können – und dadurch an Nutzer-Passwörter (außer dem des Admins), Passphrasen für private Schlüssel sowie High-Availability-Passwörter gelangen (CVE-2019-6693 / EUVD-2019-16251, CVSS 6.5, Risiko „mittel„). Firmware-Updates, die das korrigieren, stehen seit November 2019 bereit.

Die CISA erläutert keine Details zu den Angriffen, etwa über Art und Umfang. Dennoch sollten IT-Verantwortliche prüfen, ob sie möglicherweise die nun attackierten Systeme in ihrer Organisation im Betrieb haben und gegebenenfalls Gegenmaßnahmen ergreifen.

(dmk)

Sommer, Hitze, (etwas) kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c’t-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld.

Ebenfalls aus Niedersachsen stammt das „Nicht-Bußgeld der Woche“: Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse. Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer „Verkettung unglücklicher Umstände“.

Umstrittenes Urteil

Im Zentrum der Podcast-Folge steht ein jetzt schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten.

Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach Lesart der Verbraucherzentrale hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen.

Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Episode 137:

Hier geht es zu allen bisherigen Folgen:

(hob)