Kara leganto, unue mi ŝatus atentigi, ke kiel loĝanto de Germanio, mi ĉefe priskribas la situacion en ĉi tiu lando. Eble la situacio en via lando estas radikale alia.
La 17-an de decembro 2019, informoj estis publikigitaj en la paĝo de Citrix Knowledge Center pri kritika vundebleco en la Citrix Application Delivery Controller (NetScaler ADC) kaj Citrix Gateway produktlinioj, populare konataj kiel NetScaler Gateway. Poste, vundebleco ankaŭ estis trovita en la SD-WAN-linio. La vundebleco influis ĉiujn produktajn versiojn de 10.5 ĝis la nuna 13.0 kaj permesis al neaŭtorizita atakanto ekzekuti malican kodon en la sistemo, preskaŭ igante NetScaler platformon por pliaj atakoj sur la interna reto.
Samtempe kun la publikigo de informoj pri la vundebleco, Citrix publikigis rekomendojn por redukti la riskon (Workaround). Kompleta fermo de la vundebleco estis promesita nur antaŭ la fino de januaro 2020.
La severeco de ĉi tiu vundebleco (numero CVE-2019-19781) estis ... Laŭ La vundebleco influas pli ol 80 kompaniojn tutmonde.
Ebla reago al la novaĵo
Kiel respondeca persono, mi supozis, ke ĉiuj IT-profesiuloj kun NetScaler-produktoj en sia infrastrukturo faris la jenon:
- tuj efektivigis ĉiujn rekomendojn por minimumigi la riskon specifitan en artikolo CTX267679.
- rekontrolis la Fajromurajn agordojn laŭ permesita trafiko de NetScaler al la interna reto.
- rekomendis, ke administrantoj pri IT-sekureco atentu "nekutimajn" provojn aliri NetScaler kaj, se necese, bloki ilin. Mi memorigu vin, ke NetScaler kutime troviĝas en la DMZ.
- taksis la eblecon provizore malkonekti NetScaler de la reto ĝis akiri pli detalan informon pri la problemo. Dum la antaŭkristnaskaj ferioj, ferioj ktp, tio ne estus tiel dolora. Krome, multaj kompanioj havas alternativan aliropcion per VPN.
Kio okazis poste?
Bedaŭrinde, kiel evidentiĝos poste, la supraj paŝoj, kiuj estas la norma aliro, estis ignoritaj de plej multaj.
Multaj specialistoj respondecaj pri la infrastrukturo Citrix eksciis pri la vundebleco nur la 13.01.2020-an de januaro XNUMX. . Ili eksciis, kiam grandega nombro da sistemoj sub ilia respondeco estis kompromitita. La absurdaĵo de la situacio atingis la punkton, ke la heroaĵoj necesaj por tio povus esti tute .
Ial mi kredis, ke IT-specialistoj legas afiŝojn de fabrikantoj, sistemojn konfiditajn al ili, scipovas uzi Twitter, abonas ĉefajn fakulojn en sia fako kaj estas devigataj teni la aktualajn eventojn.
Fakte, dum pli ol tri semajnoj, multaj Citrix-klientoj tute ignoris la rekomendojn de la fabrikanto. Kaj Citrix-klientoj inkluzivas preskaŭ ĉiujn grandajn kaj mezgrandajn kompaniojn en Germanio, same kiel preskaŭ ĉiujn registarajn agentejojn. Antaŭ ĉio, la vundebleco influis registarajn strukturojn.
Sed estas io por fari
Tiuj, kies sistemoj estis endanĝerigitaj, bezonas kompletan reinstaladon, inkluzive de anstataŭigo de TSL-atestiloj. Eble tiuj Citrix-klientoj, kiuj atendis, ke la fabrikanto faru pli aktivajn agojn por forigi la kritikan vundeblecon, serioze serĉos alternativon. Ni devas konfesi, ke la respondo de Citrix ne estas kuraĝiga.
Estas pli da demandoj ol respondoj
Estiĝas la demando, kion faris la multnombraj partneroj de Citrix, plateno kaj oro? Kial la necesaj informoj aperis sur la paĝoj de iuj Citrix-partneroj nur en la 3-a semajno de 2020? Estas evidente, ke tre pagitaj eksteraj konsultistoj ankaŭ dormis tra ĉi tiu danĝera situacio. Mi volas ofendi iun ajn, sed la tasko de partnero estas ĉefe malhelpi problemojn, kaj ne proponi = vendi helpon por forigi ilin.
Fakte, ĉi tiu situacio montris la realan staton de aferoj en la kampo de IT-sekureco. Ambaŭ dungitoj de IT-fakoj de kompanioj kaj konsultistoj de partneraj kompanioj de Citrix devus kompreni unu veron: se estas vundebleco, ĝi devas esti forigita. Nu, kritika vundebleco devas esti forigita tuj!
fonto: www.habr.com