NSA: Chinesische Hacker nutzen Zero-Day-Lücke in Citrix-Software aus
Die Lücke betrifft Citrix ADC, einen Application Delivery Controller, und Citrix Gateway, ein Remote Access Tool – beide sind in Unternehmensnetzwerken beliebt.
Citrix ist ein US-Softwarekonzern, der im vergangenen Jahr mehr als drei Milliarden US-Dollar Umsatz gemacht hat.
Bekannte chinesische Hacker:innen-Organisation im Visier
Eine Zero-Day-Lücke ist eine Schwachstelle in der Software, die von virtuellen Angreifer:innen entdeckt wurde, bevor der Hersteller darauf aufmerksam geworden ist. Die aktuelle wurde CVE-2022-27518 getauft und könnte es nicht authentifizierten Angreifer:innen ermöglichen, Befehle auf gefährdeten Geräten auszuführen und sogar die Kontrolle über sie zu übernehmen.
Die U.S. National Security Agency (NSA) ordnet die Angriffe der Organisation APT5 zu. Das ist jedoch nicht der einzige Name, unter dem die Hacker:innen-Gruppe bekannt ist: Sie läuft auch unter den Bezeichnungen Bronze Fleetwood, Keyhole Panda, Mangan sowie UNC2630 – und soll auf Grundlage chinesischer Interessen operieren.
So wurden ihr beispielsweise im vergangenen Jahr Angriffe über eine Schwachstelle des VPN-Anbieters Pulse Secure zugeschrieben.
APT5 ist „große Bedrohung“
APT5 ist laut Techcrunch seit 2007 bekannt und führt immer wieder Cyberspionage-Kampagnen durch. In der Vergangenheit gerieten auch Technologieunternehmen, die militärische Anwendungen entwickeln, sowie Telekommunikationsanbieter in ihr Visier.
Das Cybersicherheitsunternehmen Fireeye beschreibt APT5 als „eine große Bedrohung, die aus mehreren Untergruppen besteht und mit unterschiedlichen Taktiken und Infrastrukturen“ zu Werke geht.
Erst vor einem Monat hatte Microsoft auf die Historie chinesischer Bedrohungsakteure hingewiesen, die Zero-Day-Lücken zu ihrem Vorteil nutzen.
Notfall-Patch veröffentlicht
„Uns ist eine kleine Anzahl gezielter Angriffe bekannt, die diese Schwachstelle nutzen“, sagte Peter Lefkowitz, Chief Security and Trust Officer bei Citrix, in einem Blogbeitrag. „Eingeschränkte Exploits“ dieser Schwachstelle seien gemeldet worden.
Das Software-Unternehmen gab nicht bekannt, in welchen Branchen die betroffenen Unternehmen tätig und wie viele davon betroffen sind. Citrix hat aber einen Notfall-Patch für die Schwachstelle veröffentlicht und fordert Kund:innen, die Citrix ADC und Citrix Gateway verwenden, dringend auf, die Updates sofort zu installieren.
Auch die NSA blieb nicht tatenlos: Sie stellte eine Anleitung zur Verfügung, auf die Administratoren zurückgreifen sollten.
