Kære læser, først og fremmest vil jeg gøre opmærksom på, at jeg som indbygger i Tyskland primært beskriver situationen her i landet. Måske er situationen radikalt anderledes i dit land.
Den 17. december 2019 blev der offentliggjort information på Citrix Knowledge Center-siden om en kritisk sårbarhed i Citrix Application Delivery Controller (NetScaler ADC) og Citrix Gateway produktlinjer, populært kendt som NetScaler Gateway. Senere blev der også fundet en sårbarhed i SD-WAN-linjen. Sårbarheden påvirkede alle produktversioner fra 10.5 til den nuværende 13.0 og gjorde det muligt for en uautoriseret hacker at udføre ondsindet kode på systemet, hvilket praktisk talt gjorde NetScaler til en platform for yderligere angreb på det interne netværk.
Samtidig med offentliggørelsen af information om sårbarheden udgav Citrix anbefalinger til reduktion af risikoen (Workaround). Fuldstændig lukning af sårbarheden blev først lovet ved udgangen af januar 2020.
Alvoren af denne sårbarhed (nummer CVE-2019-19781) var . Ifølge Sårbarheden påvirker mere end 80 virksomheder verden over.
Mulig reaktion på nyheden
Som ansvarlig person gik jeg ud fra, at alle it-professionelle med NetScaler-produkter i deres infrastruktur gjorde følgende:
- implementerede straks alle anbefalinger for at minimere risikoen specificeret i artiklen CTX267679.
- gentjekkede Firewall-indstillingerne med hensyn til tilladt trafik fra NetScaler mod det interne netværk.
- anbefalet, at it-sikkerhedsadministratorer er opmærksomme på "usædvanlige" forsøg på at få adgang til NetScaler og om nødvendigt blokere dem. Lad mig minde dig om, at NetScaler normalt er placeret i DMZ.
- vurderet muligheden for midlertidigt at afbryde NetScaler fra netværket, indtil der er opnået mere detaljerede oplysninger om problemet. I førjulsferien, ferier osv. ville dette ikke være så smertefuldt. Derudover har mange virksomheder en alternativ adgangsmulighed via VPN.
Hvad skete der så?
Desværre, som det vil blive klart senere, blev ovenstående trin, som er standardtilgangen, ignoreret af de fleste.
Mange specialister med ansvar for Citrix-infrastrukturen lærte først om sårbarheden den 13.01.2020. januar XNUMX . De fandt ud af, da et stort antal systemer under deres ansvar blev kompromitteret. Det absurde i situationen nåede det punkt, at de udnyttelser, der var nødvendige for dette, kunne være fuldstændig .
Af en eller anden grund troede jeg, at it-specialister læser mails fra producenter, systemer, der er betroet dem, ved, hvordan man bruger Twitter, abonnerer på førende eksperter inden for deres felt og er forpligtet til at holde sig ajour med aktuelle begivenheder.
Faktisk ignorerede adskillige Citrix-kunder i mere end tre uger fuldstændig producentens anbefalinger. Og Citrix-kunder omfatter næsten alle store og mellemstore virksomheder i Tyskland, såvel som næsten alle offentlige myndigheder. Først og fremmest påvirkede sårbarheden regeringsstrukturer.
Men der er noget at gøre
De, hvis systemer er blevet kompromitteret, har brug for en komplet geninstallation, inklusive udskiftning af TSL-certifikater. Måske vil de Citrix-kunder, der forventede, at producenten ville tage mere aktiv handling for at eliminere den kritiske sårbarhed, seriøst lede efter et alternativ. Vi må indrømme, at Citrix' svar ikke er opmuntrende.
Der er flere spørgsmål end svar
Spørgsmålet opstår, hvad lavede de mange partnere i Citrix, platin og guld? Hvorfor blev de nødvendige oplysninger først vist på siderne hos nogle Citrix-partnere i den 3. uge af 2020? Det er indlysende, at højtlønnede eksterne konsulenter også sov igennem denne farlige situation. Jeg vil ikke fornærme nogen, men en partners opgave er primært at forhindre problemer i at opstå, og ikke at tilbyde = sælge hjælp til at fjerne dem.
Faktisk viste denne situation den reelle situation inden for it-sikkerhedsområdet. Både ansatte i virksomheders it-afdelinger og konsulenter fra Citrix-partnervirksomheder bør forstå én sandhed: Hvis der er en sårbarhed, skal den elimineres. Nå, en kritisk sårbarhed skal elimineres med det samme!
Kilde: www.habr.com