Как критичната уязвимост на Citrix NetScaler CVE-2019-19781 разкри скрити проблеми в ИТ индустрията

Уважаеми читателю, преди всичко бих искал да отбележа, че като жител на Германия описвам преди всичко ситуацията в тази страна. Може би ситуацията във вашата страна е коренно различна.

На 17 декември 2019 г. на страницата на Citrix Knowledge Center беше публикувана информация за критична уязвимост в продуктовите линии Citrix Application Delivery Controller (NetScaler ADC) и Citrix Gateway, популярни като NetScaler Gateway. По-късно беше открита уязвимост и в линията SD-WAN. Уязвимостта засегна всички версии на продукта от 10.5 до текущата 13.0 и позволи на неоторизиран нападател да изпълни злонамерен код в системата, като на практика превърна NetScaler в платформа за по-нататъшни атаки във вътрешната мрежа.

• CTX267027: CVE-2019-19781 - Уязвимост в Citrix Application Delivery Controller
• CTX267679: Mitigation Steps for CVE-2019-19781
• CTX269180: CVE-2019-19781 – Инструмент за проверка (Публикувано на 15.01.2020 г.!)

Едновременно с публикуването на информация за уязвимостта Citrix публикува препоръки за намаляване на риска (Workaround). Пълното затваряне на уязвимостта беше обещано едва до края на януари 2020 г.

Критичность данной уязвимости (номер CVE-2019-19781) была оценен с 9.8 точки от 10. Според информация от Positive Technologies Уязвимостта засяга повече от 80 000 компании по целия свят.

Възможна реакция на новината

Като отговорно лице предположих, че всички ИТ специалисти с продукти NetScaler в своята инфраструктура са направили следното:

1. незабавно приложи всички препоръки за минимизиране на риска, посочени в член CTX267679.
2. провери отново настройките на защитната стена по отношение на разрешения трафик от NetScaler към вътрешната мрежа.
3. препоръчва на администраторите за ИТ сигурност да обърнат внимание на „необичайните“ опити за достъп до NetScaler и, ако е необходимо, да ги блокират. Нека ви напомня, че NetScaler обикновено се намира в DMZ.
4. оцени възможността за временно изключване на NetScaler от мрежата до получаване на по-подробна информация за проблема. По време на предколедните празници, отпуски и т.н., това няма да е толкова болезнено. Освен това много компании имат алтернативна опция за достъп чрез VPN.

Какво стана след това?

За съжаление, както ще стане ясно по-късно, горните стъпки, които са стандартният подход, бяха игнорирани от повечето.

Много специалисти, отговорни за инфраструктурата на Citrix, научиха за уязвимостта едва на 13.01.2020 януари XNUMX г. от централните новини. Те разбраха, когато огромен брой системи под тяхна отговорност бяха компрометирани. Абсурдът на ситуацията стигна дотам, че експлойтите, необходими за това, можеха да бъдат напълно легально скачать в интернете.
По някаква причина вярвах, че ИТ специалистите четат имейли от производители, поверени им системи, знаят как да използват Twitter, абонират се за водещи експерти в своята област и са длъжни да бъдат в крак с текущите събития.

Всъщност повече от три седмици много клиенти на Citrix напълно пренебрегнаха препоръките на производителя. А клиентите на Citrix включват почти всички големи и средни компании в Германия, както и почти всички държавни агенции. На първо място, уязвимостта засегна държавните структури.

Но има какво да се направи

Тем, чьи системы были скомпрометированы, необходима их полная переинсталяция, включая замену TSL-сертификатов. Возможно, те клиенты Citrix, которые ожидали от производителя более активных действий в устранении критической уязвимости, всерьёз займутся поиском альтернативы. Приходится признать, что реакция Citrix не внушает оптимизма.

Има повече въпроси, отколкото отговори

Възниква въпросът какво правеха многобройните партньори на Citrix, платина и злато? Защо необходимата информация се появи на страниците на някои партньори на Citrix едва през 3-тата седмица на 2020 г.? Очевидно е, че високоплатените външни консултанти също са проспали тази опасна ситуация. Не искам да обидя никого, но задачата на партньора е преди всичко да предотвратява възникването на проблеми, а не да предлага = продава помощ за тяхното отстраняване.

Всъщност тази ситуация показа реалното състояние на нещата в областта на ИТ сигурността. Както служителите на ИТ отделите на компаниите, така и консултантите на партньорските компании на Citrix трябва да разберат една истина: ако има уязвимост, тя трябва да бъде елиминирана. Е, критичната уязвимост трябва да бъде елиминирана незабавно!

Източник: www.habr.com