Erste Abuse-Meldungen zu IP-Adressen, wo mal ein offener Citrix-Netscaler war

lordgurke
Goto Top
Moin,

seit heute bekommen wir (Provider) die ersten Abuse-Meldungen zu IP-Adressen, bei denen wir vor ein paar Wochen noch Meldungen vom BSI bekamen, dass da offene Citrix Netscaler-Gateways erreichbar wären.

Ich bin mir bei manchen betroffenen Kunden sehr sicher, dass diese zeitnah darauf reagiert haben (die BSI-Meldungen kamen bereits mehrere Stunden vorher, bevor das bei Heise bekannt wurde), aber von dort gingen jetzt Attacken aus.
In der Regel waren das Portscans auf die Ports:
  • 3389/TCP (Windows-RDP)
  • 22/TCP (SSH)
  • 23/TCP (Telnet)


Aber nachdem mehrere Kunden resp. Geräte quasi zeitgleich betroffen sind, scheint das ein gerade aktiviertes Botnet zu sein, was da loslegt.
Falls ihr also Citrix-Geräte in eurem Netzwerk habt, guckt doch mal nach, was die aktuell so im Internet machen face-wink

Content-Key: 542824

Url: https://administrator.de/contentid/542824

Ausgedruckt am: 19.08.2022 um 10:08 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 04.02.2020 um 20:56:02 Uhr
Goto Top
Klingt doch hervorragend. Hier erklärt sich auch, warum wir immer wieder darauf hin weißen müssen, dass Profis die Netze absichern.
Mitglied: Dani
Dani 08.02.2020 um 00:54:05 Uhr
Goto Top
Moin,
Ich bin mir bei manchen betroffenen Kunden sehr sicher, dass diese zeitnah darauf reagiert haben (die BSI-Meldungen kamen bereits mehrere Stunden vorher, bevor das bei Heise bekannt wurde), aber von dort gingen jetzt Attacken aus.
das ist keine Garantie dafür, dass die Kunden "sauber" sind. Eigentlich ist nur eine Neuinstallation der Citrix Produkten sinnvoll. Alles andere ist fahrlässig auf Dauer.


Gruß,
Dani