Lieber Leser, zunächst möchte ich darauf hinweisen, dass ich als Einwohner Deutschlands in erster Linie die Situation in diesem Land beschreibe. Vielleicht ist die Situation in Ihrem Land völlig anders.
Am 17. Dezember 2019 wurden auf der Citrix Knowledge Center-Seite Informationen über eine kritische Schwachstelle in den Produktlinien Citrix Application Delivery Controller (NetScaler ADC) und Citrix Gateway, allgemein bekannt als NetScaler Gateway, veröffentlicht. Später wurde auch eine Schwachstelle in der SD-WAN-Leitung gefunden. Die Schwachstelle betraf alle Produktversionen von 10.5 bis zur aktuellen 13.0 und ermöglichte es einem unbefugten Angreifer, Schadcode auf dem System auszuführen, wodurch NetScaler praktisch zu einer Plattform für weitere Angriffe auf das interne Netzwerk wurde.
Zeitgleich mit der Veröffentlichung der Informationen zur Schwachstelle veröffentlichte Citrix Empfehlungen zur Reduzierung des Risikos (Workaround). Eine vollständige Schließung der Schwachstelle wurde erst Ende Januar 2020 versprochen.
Der Schweregrad dieser Sicherheitslücke (Nummer CVE-2019-19781) betrug . Nach Die Schwachstelle betrifft weltweit mehr als 80 Unternehmen.
Mögliche Reaktion auf die Nachricht
Als verantwortliche Person bin ich davon ausgegangen, dass alle IT-Experten mit NetScaler-Produkten in ihrer Infrastruktur Folgendes getan haben:
- Sämtliche im Artikel CTX267679 genannten Empfehlungen zur Risikominimierung wurden umgehend umgesetzt.
- überprüfte die Firewall-Einstellungen erneut im Hinblick auf den zulässigen Datenverkehr von NetScaler zum internen Netzwerk.
- empfahl IT-Sicherheitsadministratoren, auf „ungewöhnliche“ Zugriffsversuche auf NetScaler zu achten und diese gegebenenfalls zu blockieren. Ich möchte Sie daran erinnern, dass sich NetScaler normalerweise in der DMZ befindet.
- prüfte die Möglichkeit, NetScaler vorübergehend vom Netzwerk zu trennen, bis detailliertere Informationen über das Problem vorliegen. In den Vorweihnachtsferien, Ferien etc. wäre das nicht so schmerzhaft. Darüber hinaus verfügen viele Unternehmen über eine alternative Zugangsmöglichkeit per VPN.
Was als nächstes geschah?
Leider wurden die oben genannten Schritte, die den Standardansatz darstellen, von den meisten ignoriert, wie sich später herausstellen wird.
Viele für die Citrix-Infrastruktur verantwortliche Spezialisten erfuhren erst am 13.01.2020. Januar XNUMX von der Schwachstelle . Sie fanden heraus, dass eine große Anzahl von Systemen, für die sie verantwortlich waren, kompromittiert wurde. Die Absurdität der Situation ging so weit, dass die dafür notwendigen Exploits vollständig sein könnten .
Aus irgendeinem Grund glaubte ich, dass IT-Spezialisten Mailings von Herstellern und ihnen anvertrauten Systemen lesen, mit Twitter umgehen können, führende Experten auf ihrem Gebiet abonnieren und verpflichtet sind, über aktuelle Ereignisse auf dem Laufenden zu bleiben.
Tatsächlich haben zahlreiche Citrix-Kunden die Empfehlungen des Herstellers mehr als drei Wochen lang völlig ignoriert. Zu den Kunden von Citrix zählen nahezu alle großen und mittelständischen Unternehmen in Deutschland sowie nahezu alle Behörden. Die Verwundbarkeit betraf zunächst einmal die Regierungsstrukturen.
Aber es gibt etwas zu tun
Diejenigen, deren Systeme kompromittiert wurden, benötigen eine vollständige Neuinstallation, einschließlich des Austauschs der TSL-Zertifikate. Vielleicht werden diejenigen Citrix-Kunden, die erwartet haben, dass der Hersteller aktivere Maßnahmen zur Behebung der kritischen Schwachstelle ergreifen würde, ernsthaft nach einer Alternative suchen. Wir müssen zugeben, dass die Reaktion von Citrix nicht ermutigend ist.
Mehr Fragen als Antworten.
Es stellt sich die Frage, was haben die zahlreichen Partner von Citrix, Platin und Gold gemacht? Warum erschienen die notwendigen Informationen auf den Seiten einiger Citrix-Partner erst in der 3. Woche des Jahres 2020? Es liegt auf der Hand, dass auch hochbezahlte externe Berater diese gefährliche Situation verschlafen haben. Ich möchte niemanden beleidigen, aber die Aufgabe eines Partners besteht in erster Linie darin, das Auftreten von Problemen zu verhindern und nicht darin, Hilfe bei deren Beseitigung anzubieten = zu verkaufen.
Tatsächlich zeigte diese Situation den tatsächlichen Stand der Dinge im Bereich der IT-Sicherheit. Sowohl Mitarbeiter von IT-Abteilungen von Unternehmen als auch Berater von Citrix-Partnerunternehmen sollten eine Wahrheit verstehen: Wenn eine Schwachstelle vorhanden ist, muss diese behoben werden. Nun, eine kritische Schwachstelle muss sofort beseitigt werden!
Source: habr.com