Как критическая уязвимость Citrix NetScaler CVE-2019-19781 обнажила скрытые проблемы IT-отрасли

Дорогой читатель, прежде всего хотелось бы указать на то, что будучи жителем Германии, я прежде всего описываю ситуацию в данной стране. Возможно, в вашей стране ситуация кардинально иная.

17 декабря 2019 года на странице Citrix Knowledge Center была опубликована информация о критической уязвимости в линейках продуктов Citrix Application Delivery Controller (NetScaler ADC) и Citrix Gateway, известным в народе, как NetScaler Gateway. В дальнейшем уязвимость была найдена также и в линейке SD-WAN. Уязвимость затрагивала все версии продуктов, начиная с 10.5 и заканчивая актуальной 13.0 и позволяла неавторизованному злоумышленнику выполнение вредоносного кода в системе, практически превращая NetScaler в платформу для дальнейших атак на внутреннюю сеть.

• CTX267027: CVE-2019-19781 — Vulnerability in Citrix Application Delivery Controller
• CTX267679: Mitigation Steps for CVE-2019-19781
• CTX269180: CVE-2019-19781 – Verification Tool (Опубликовано 15.01.2020!)

Одновременно с публикацией информации об уязвимости Citrix опубликовал рекомендации по снижению риска (Workaround). Полное закрытие уязвимости было обещано лишь к концу января 2020 года.

Критичность данной уязвимости (номер CVE-2019-19781) была оценена на 9.8 балов из 10. Согласно информации компании Positive Technologies уязвимость затрагивает более 80 000 компаний по всему миру.

Возможная реакция на новость

Будучи ответственным человеком, я полагал, что все IT-специалисты, имеющие в своей инфраструктуре продукты NetScaler, поступили следующим образом:

1. незамедлительно имплементировали все указанные в статье CTX267679 рекомендации по минимизации риска.
2. перепроверили настройки Firewall, в плане разрешённого трафика от NetScaler в сторону внутренней сети.
3. порекомендовали администраторам IT-безопасности обратить внимание на «необычные» попытки доступа к NetScaler и в случаи необходимости блокировать их. Напомню, NetScaler обычно располагается в DMZ.
4. оценили возможность временного отключения NetScaler от сети, до получения более подробной информации о проблеме. Во время предрождественских отпусков, каникул и т. д. это было бы не столь болезненно. Кроме того, у многих фирм есть альтернативная возможность доступа через VPN.

Что же произошло в дальнейшем?

К сожалению, как выяснится в дальнейшем, вышеописанные шаги, которые являются стандартным подходом, были большинством проигнорированы.

Многие, ответственные за Citrix-инфраструктуру специалисты, узнали об уязвимости лишь 13.01.2020 из центральных новостей. Узнали тогда, когда огромное количество подответсвенных им систем были скомпрометированы. Абсурдность ситуации доходила до того, что необходимые для этого эксплоиты можно вполне легально скачать в интернете.
Я почему-то полагал, что IT-специалисты читают рассылки от производителей, вверенных им систем, умеют пользоваться твиттером, подписаны на ведущих специалистов в своей области и обязаны быть в курсе актуальных событий.

Фактически, в течение более трёх недель, многочисленные клиенты Citrix полностью игнорировали рекомендации производителя. А клиентами Citrix являются практически все крупные и средние компании Германии, а также почти все государственные учреждения. Прежде всего уязвимость коснулась именно государственных структур.

Зато есть чем заняться

Тем, чьи системы были скомпрометированы, необходима их полная переинсталяция, включая замену TSL-сертификатов. Возможно, те клиенты Citrix, которые ожидали от производителя более активных действий в устранении критической уязвимости, всерьёз займутся поиском альтернативы. Приходится признать, что реакция Citrix не внушает оптимизма.

Вопросов больше, чем ответов

Возникает вопрос, а чем занимались многочисленные партнёры фирмы Citrix, платиновые и золотые? Почему лишь на 3-ей неделе 2020 года на страницах некоторых партнёров фирмы Citrix появилась необходимая информация? Очевидно, что и высокооплачиваемые внешние консультанты также проспали эту опасную ситуацию. Не хочу никого обидеть, но задача партнёра заключается в первую очередь в том, чтобы предотвращать возникающие проблемы, а не предлагать = продавать помощь в их устранении.

Фактически, данная ситуация показала реальное положение дел в области IT-безопасности. Как сотрудникам IT-отделов компаний, так и консультантам фирм партнёров Citrix, следует уяснить одну истину, если есть уязвимость, то её необходимо устранить. Ну а критическую уязвимость, необходимо устранять незамедлительно!

Источник: habr.com