Αγαπητέ αναγνώστη, καταρχάς θα ήθελα να επισημάνω ότι ως κάτοικος Γερμανίας, περιγράφω πρωτίστως την κατάσταση σε αυτή τη χώρα. Ίσως η κατάσταση στη χώρα σας να είναι ριζικά διαφορετική.
Στις 17 Δεκεμβρίου 2019, δημοσιεύθηκαν πληροφορίες στη σελίδα του Κέντρου Γνώσης Citrix σχετικά με μια κρίσιμη ευπάθεια στις σειρές προϊόντων Citrix Application Delivery Controller (NetScaler ADC) και Citrix Gateway, ευρέως γνωστές ως NetScaler Gateway. Αργότερα, βρέθηκε επίσης μια ευπάθεια στη γραμμή SD-WAN. Η ευπάθεια επηρέασε όλες τις εκδόσεις προϊόντων από την 10.5 έως την τρέχουσα 13.0 και επέτρεψε σε έναν μη εξουσιοδοτημένο εισβολέα να εκτελέσει κακόβουλο κώδικα στο σύστημα, μετατρέποντας ουσιαστικά το NetScaler σε πλατφόρμα για περαιτέρω επιθέσεις στο εσωτερικό δίκτυο.
Ταυτόχρονα με τη δημοσίευση πληροφοριών σχετικά με την ευπάθεια, η Citrix δημοσίευσε συστάσεις για τη μείωση του κινδύνου (Workaround). Το πλήρες κλείσιμο της ευπάθειας υποσχέθηκε μόνο μέχρι τα τέλη Ιανουαρίου 2020.
Η σοβαρότητα αυτής της ευπάθειας (αριθμός CVE-2019-19781) ήταν . Σύμφωνα με το Η ευπάθεια επηρεάζει περισσότερες από 80 εταιρείες παγκοσμίως.
Πιθανή αντίδραση στην είδηση
Ως υπεύθυνο άτομο, υπέθεσα ότι όλοι οι επαγγελματίες πληροφορικής με προϊόντα NetScaler στην υποδομή τους έκαναν τα εξής:
- εφάρμοσε αμέσως όλες τις συστάσεις για την ελαχιστοποίηση του κινδύνου που καθορίζεται στο άρθρο CTX267679.
- επανέλεξε τις ρυθμίσεις του Τείχους προστασίας όσον αφορά την επιτρεπόμενη κίνηση από το NetScaler προς το εσωτερικό δίκτυο.
- συνέστησε στους διαχειριστές ασφάλειας IT να δώσουν προσοχή σε «ασυνήθιστες» προσπάθειες πρόσβασης στο NetScaler και, εάν είναι απαραίτητο, να τις αποκλείσουν. Να σας υπενθυμίσω ότι το NetScaler βρίσκεται συνήθως στο DMZ.
- αξιολόγησε τη δυνατότητα προσωρινής αποσύνδεσης του NetScaler από το δίκτυο μέχρι να ληφθούν πιο λεπτομερείς πληροφορίες σχετικά με το πρόβλημα. Στις προ-χριστουγεννιάτικες γιορτές, διακοπές κ.λπ., αυτό δεν θα ήταν τόσο οδυνηρό. Επιπλέον, πολλές εταιρείες έχουν εναλλακτική επιλογή πρόσβασης μέσω VPN.
Τι έγινε μετά?
Δυστυχώς, όπως θα γίνει σαφές στη συνέχεια, τα παραπάνω βήματα, που είναι η τυπική προσέγγιση, αγνοήθηκαν από τους περισσότερους.
Πολλοί ειδικοί υπεύθυνοι για την υποδομή Citrix έμαθαν για την ευπάθεια μόλις στις 13.01.2020 Ιανουαρίου XNUMX . Ανακάλυψαν όταν ένας τεράστιος αριθμός συστημάτων υπό την ευθύνη τους παραβιάστηκε. Ο παραλογισμός της κατάστασης έφτασε στο σημείο που οι απαραίτητες για αυτό κατορθώματα θα μπορούσαν να είναι εντελώς .
Για κάποιο λόγο, πίστευα ότι οι ειδικοί πληροφορικής διαβάζουν αποστολές από κατασκευαστές, συστήματα που τους έχουν ανατεθεί, ξέρουν πώς να χρησιμοποιούν το Twitter, εγγράφονται σε κορυφαίους ειδικούς στον τομέα τους και είναι υποχρεωμένοι να ενημερώνονται για τα τρέχοντα γεγονότα.
Στην πραγματικότητα, για περισσότερες από τρεις εβδομάδες, πολλοί πελάτες Citrix αγνόησαν εντελώς τις συστάσεις του κατασκευαστή. Και οι πελάτες της Citrix περιλαμβάνουν σχεδόν όλες τις μεγάλες και μεσαίες εταιρείες στη Γερμανία, καθώς και σχεδόν όλες τις κρατικές υπηρεσίες. Πρώτα απ 'όλα, η ευπάθεια επηρέασε τις κυβερνητικές δομές.
Αλλά υπάρχει κάτι να κάνουμε
Εκείνα των οποίων τα συστήματα έχουν παραβιαστεί χρειάζονται πλήρη επανεγκατάσταση, συμπεριλαμβανομένης της αντικατάστασης των πιστοποιητικών TSL. Ίσως εκείνοι οι πελάτες της Citrix που περίμεναν από τον κατασκευαστή να αναλάβει πιο ενεργή δράση για την εξάλειψη της κρίσιμης ευπάθειας, να αναζητήσουν σοβαρά μια εναλλακτική λύση. Πρέπει να παραδεχτούμε ότι η απάντηση της Citrix δεν είναι ενθαρρυντική.
Περισσότερες ερωτήσεις παρά απαντήσεις
Τίθεται το ερώτημα, τι έκαναν οι πολυάριθμοι συνεργάτες της Citrix, πλατίνα και χρυσός; Γιατί οι απαραίτητες πληροφορίες εμφανίστηκαν στις σελίδες ορισμένων συνεργατών της Citrix μόνο την 3η εβδομάδα του 2020; Είναι προφανές ότι και υψηλά αμειβόμενοι εξωτερικοί σύμβουλοι κοιμήθηκαν αυτή την επικίνδυνη κατάσταση. Δεν θέλω να προσβάλω κανέναν, αλλά το καθήκον ενός συνεργάτη είναι πρωτίστως να αποτρέψει την εμφάνιση προβλημάτων και όχι να προσφέρει = πουλήσει βοήθεια για την εξάλειψή τους.
Στην πραγματικότητα, αυτή η κατάσταση έδειξε την πραγματική κατάσταση στον τομέα της ασφάλειας πληροφορικής. Τόσο οι υπάλληλοι των τμημάτων πληροφορικής εταιρειών όσο και οι σύμβουλοι συνεργαζόμενων εταιρειών Citrix θα πρέπει να κατανοήσουν μια αλήθεια: εάν υπάρχει ευπάθεια, πρέπει να εξαλειφθεί. Λοιπόν, μια κρίσιμη ευπάθεια πρέπει να εξαλειφθεί αμέσως!
Πηγή: www.habr.com