2
Erste Abuse-Meldungen zu IP-Adressen, wo mal ein offener Citrix-Netscaler war
Moin,
seit heute bekommen wir (Provider) die ersten Abuse-Meldungen zu IP-Adressen, bei denen wir vor ein paar Wochen noch Meldungen vom BSI bekamen, dass da offene Citrix Netscaler-Gateways erreichbar wären.
Ich bin mir bei manchen betroffenen Kunden sehr sicher, dass diese zeitnah darauf reagiert haben (die BSI-Meldungen kamen bereits mehrere Stunden vorher, bevor das bei Heise bekannt wurde), aber von dort gingen jetzt Attacken aus.
In der Regel waren das Portscans auf die Ports:
Aber nachdem mehrere Kunden resp. Geräte quasi zeitgleich betroffen sind, scheint das ein gerade aktiviertes Botnet zu sein, was da loslegt.
Falls ihr also Citrix-Geräte in eurem Netzwerk habt, guckt doch mal nach, was die aktuell so im Internet machen
seit heute bekommen wir (Provider) die ersten Abuse-Meldungen zu IP-Adressen, bei denen wir vor ein paar Wochen noch Meldungen vom BSI bekamen, dass da offene Citrix Netscaler-Gateways erreichbar wären.
Ich bin mir bei manchen betroffenen Kunden sehr sicher, dass diese zeitnah darauf reagiert haben (die BSI-Meldungen kamen bereits mehrere Stunden vorher, bevor das bei Heise bekannt wurde), aber von dort gingen jetzt Attacken aus.
In der Regel waren das Portscans auf die Ports:
- 3389/TCP (Windows-RDP)
- 22/TCP (SSH)
- 23/TCP (Telnet)
Aber nachdem mehrere Kunden resp. Geräte quasi zeitgleich betroffen sind, scheint das ein gerade aktiviertes Botnet zu sein, was da loslegt.
Falls ihr also Citrix-Geräte in eurem Netzwerk habt, guckt doch mal nach, was die aktuell so im Internet machen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 542824
Url: https://administrator.de/contentid/542824
Printed on: April 19, 2024 at 23:04 o'clock
2 Comments
Latest comment
Klingt doch hervorragend. Hier erklärt sich auch, warum wir immer wieder darauf hin weißen müssen, dass Profis die Netze absichern.
Moin,
Gruß,
Dani
Ich bin mir bei manchen betroffenen Kunden sehr sicher, dass diese zeitnah darauf reagiert haben (die BSI-Meldungen kamen bereits mehrere Stunden vorher, bevor das bei Heise bekannt wurde), aber von dort gingen jetzt Attacken aus.
das ist keine Garantie dafür, dass die Kunden "sauber" sind. Eigentlich ist nur eine Neuinstallation der Citrix Produkten sinnvoll. Alles andere ist fahrlässig auf Dauer.Gruß,
Dani
