Com la vulnerabilitat crítica de Citrix NetScaler CVE-2019-19781 va exposar problemes ocults a la indústria informàtica

Benvolgut lector, en primer lloc m'agradaria assenyalar que com a resident a Alemanya, estic descrivint principalment la situació d'aquest país. Potser la situació al vostre país és radicalment diferent.

El 17 de desembre de 2019, es va publicar informació a la pàgina Citrix Knowledge Center sobre una vulnerabilitat crítica a les línies de productes Citrix Application Delivery Controller (NetScaler ADC) i Citrix Gateway, conegudes popularment com NetScaler Gateway. Més tard, també es va trobar una vulnerabilitat a la línia SD-WAN. La vulnerabilitat va afectar totes les versions del producte des de la 10.5 fins a la 13.0 actual i va permetre a un atacant no autoritzat executar codi maliciós al sistema, convertint pràcticament NetScaler en una plataforma per a més atacs a la xarxa interna.

• CTX267027: CVE-2019-19781 - Vulnerabilitat a Citrix Application Delivery Controller
• CTX267679: passos de mitigació per a CVE-2019-19781
• CTX269180: CVE-2019-19781 – Eina de verificació (Publicat el 15.01.2020/XNUMX/XNUMX!)

Simultàniament a la publicació d'informació sobre la vulnerabilitat, Citrix va publicar recomanacions per reduir el risc (Workaround). El tancament complet de la vulnerabilitat només es va prometre a finals de gener de 2020.

La gravetat d'aquesta vulnerabilitat (número CVE-2019-19781) era valorat amb 9.8 punts sobre 10. Segons informació de Positive Technologies La vulnerabilitat afecta més de 80 empreses a tot el món.

Possible reacció a la notícia

Com a persona responsable, vaig suposar que tots els professionals de TI amb productes NetScaler a la seva infraestructura feien el següent:

1. va implementar immediatament totes les recomanacions per minimitzar el risc especificat a l'article CTX267679.
2. va tornar a comprovar la configuració del tallafoc en termes de trànsit permès des de NetScaler cap a la xarxa interna.
3. va recomanar que els administradors de seguretat informàtica prestin atenció als intents "inusuals" d'accedir a NetScaler i, si cal, bloquejar-los. Permeteu-me recordar-vos que NetScaler normalment es troba a la DMZ.
4. va avaluar la possibilitat de desconnectar temporalment NetScaler de la xarxa fins que s'obtingui informació més detallada sobre el problema. Durant les vacances prèvies a Nadal, vacances, etc., això no seria tan dolorós. A més, moltes empreses tenen una opció d'accés alternativa mitjançant VPN.

Què va passar després?

Malauradament, com quedarà clar més endavant, els passos anteriors, que són l'enfocament estàndard, van ser ignorats per la majoria.

Molts especialistes responsables de la infraestructura de Citrix van conèixer la vulnerabilitat només el 13.01.2020 de gener de XNUMX. de les notícies centrals. Van descobrir quan un gran nombre de sistemes sota la seva responsabilitat es van veure compromesos. L'absurd de la situació va arribar al punt que les gestes necessàries per a això podien ser completament descarregar legalment a Internet.
Per alguna raó, vaig creure que els especialistes informàtics llegeixen mailings dels fabricants, sistemes que se'ls confien, saben utilitzar Twitter, es subscriuen als principals experts en el seu camp i estan obligats a estar al dia de l'actualitat.

De fet, durant més de tres setmanes, nombrosos clients de Citrix van ignorar completament les recomanacions del fabricant. I els clients de Citrix inclouen gairebé totes les empreses grans i mitjanes d'Alemanya, així com gairebé totes les agències governamentals. En primer lloc, la vulnerabilitat va afectar les estructures de govern.

Però hi ha alguna cosa a fer

Aquells els sistemes dels quals han estat compromesos necessiten una reinstal·lació completa, inclosa la substitució dels certificats TSL. Potser aquells clients de Citrix que esperaven que el fabricant prengués accions més actives per eliminar la vulnerabilitat crítica buscaran seriosament una alternativa. Hem d'admetre que la reacció de Citrix no és encoratjadora.

Hi ha més preguntes que respostes

Es planteja la pregunta, què estaven fent els nombrosos socis de Citrix, platí i or? Per què la informació necessària va aparèixer a les pàgines d'alguns socis de Citrix només la 3a setmana del 2020? És obvi que els consultors externs molt ben pagats també van dormir en aquesta situació perillosa. No vull ofendre ningú, però la tasca d'un soci és principalment evitar que sorgeixin problemes, i no oferir = vendre ajuda per eliminar-los.

De fet, aquesta situació mostrava l'estat real de les coses en l'àmbit de la seguretat informàtica. Tant els empleats dels departaments informàtics de les empreses com els consultors de les empreses col·laboradores de Citrix haurien d'entendre una veritat: si hi ha una vulnerabilitat, s'ha d'eliminar. Bé, una vulnerabilitat crítica s'ha d'eliminar immediatament!

Font: www.habr.com