Poštovani čitaoče, prije svega želim da istaknem da kao stanovnik Njemačke prvenstveno opisujem situaciju u ovoj zemlji. Možda je situacija u vašoj zemlji radikalno drugačija.
Dana 17. decembra 2019. na stranici Citrix centra znanja objavljena je informacija o kritičnoj ranjivosti u linijama proizvoda Citrix Application Delivery Controller (NetScaler ADC) i Citrix Gateway, popularno poznatim kao NetScaler Gateway. Kasnije je ranjivost pronađena iu SD-WAN liniji. Ranjivost je uticala na sve verzije proizvoda od 10.5 do trenutne 13.0 i omogućila je neovlašćenom napadaču da izvrši zlonamjerni kod na sistemu, praktično pretvarajući NetScaler u platformu za dalje napade na internu mrežu.
Istovremeno sa objavljivanjem informacija o ranjivosti, Citrix je objavio preporuke za smanjenje rizika (Workaround). Potpuno zatvaranje ranjivosti obećano je tek do kraja januara 2020.
Ozbiljnost ove ranjivosti (broj CVE-2019-19781) je bila ... Prema Ranjivost pogađa više od 80 kompanija širom svijeta.
Moguća reakcija na vijest
Kao odgovorna osoba, pretpostavio sam da su svi IT profesionalci sa NetScaler proizvodima u svojoj infrastrukturi uradili sljedeće:
- odmah implementirao sve preporuke za minimiziranje rizika navedene u članku CTX267679.
- ponovo provjerio postavke zaštitnog zida u smislu dozvoljenog saobraćaja od NetScalera prema internoj mreži.
- preporučuje da administratori IT bezbednosti obrate pažnju na „neuobičajene“ pokušaje pristupa NetScaler-u i, ako je potrebno, da ih blokiraju. Da vas podsjetim da se NetScaler obično nalazi u DMZ-u.
- procijenio mogućnost privremenog isključivanja NetScaler-a sa mreže dok se ne dobiju detaljnije informacije o problemu. Za vrijeme predbožićnih praznika, raspusta i sl., to ne bi bilo tako bolno. Osim toga, mnoge kompanije imaju alternativnu opciju pristupa putem VPN-a.
Šta se dalje dogodilo?
Nažalost, kao što će kasnije postati jasno, većina je ignorirala gore navedene korake, koji su standardni pristup.
Mnogi stručnjaci odgovorni za Citrix infrastrukturu saznali su za ranjivost tek 13.01.2020. januara XNUMX. . Saznali su kada je kompromitovan ogroman broj sistema pod njihovom odgovornošću. Apsurd situacije je dostigao tačku da su eksploati potrebni za to mogli biti u potpunosti .
Iz nekog razloga sam vjerovao da informatičari čitaju mailove proizvođača, sistema koji su im povjereni, znaju koristiti Twitter, pretplatiti se na vodeće stručnjake u svojoj oblasti i dužni su biti u toku sa aktuelnim dešavanjima.
Zapravo, više od tri sedmice, brojni kupci Citrixa potpuno su ignorisali preporuke proizvođača. A klijenti Citrixa uključuju gotovo sve velike i srednje kompanije u Njemačkoj, kao i gotovo sve vladine agencije. Prije svega, ranjivost je uticala na strukture vlasti.
Ali ima šta da se uradi
Onima čiji su sistemi ugroženi potrebna je potpuna reinstalacija, uključujući zamjenu TSL certifikata. Možda će oni kupci Citrixa koji su očekivali da će proizvođač poduzeti aktivnije djelovanje u eliminaciji kritične ranjivosti ozbiljno potražiti alternativu. Moramo priznati da Citrixov odgovor nije ohrabrujući.
Više je pitanja nego odgovora
Postavlja se pitanje šta su radili brojni partneri Citrixa, platine i zlata? Zašto su se potrebne informacije pojavile na stranicama nekih Citrix partnera tek u 3. sedmici 2020? Očigledno je da su i visoko plaćeni vanjski konsultanti prespavali ovu opasnu situaciju. Ne želim nikoga uvrijediti, ali zadatak partnera je prvenstveno spriječiti nastanak problema, a ne ponuditi = prodati pomoć u njihovom otklanjanju.
Naime, ova situacija je pokazala pravo stanje stvari u oblasti IT sigurnosti. I zaposleni u IT odjelima kompanija i konsultanti Citrix partnerskih kompanija trebali bi razumjeti jednu istinu: ako postoji ranjivost, ona mora biti eliminisana. Pa, kritična ranjivost mora biti eliminisana odmah!
izvor: www.habr.com