Estimado lector, en primer lugar quisiera señalar que, como residente en Alemania, me refiero principalmente a la situación en este país. Quizás la situación en su país sea radicalmente diferente.
El 17 de diciembre de 2019 se publicó información en la página de Citrix Knowledge Center sobre una vulnerabilidad crítica en las líneas de productos Citrix Application Delivery Controller (NetScaler ADC) y Citrix Gateway, conocida popularmente como NetScaler Gateway. Posteriormente también se encontró una vulnerabilidad en la línea SD-WAN. La vulnerabilidad afectó a todas las versiones del producto desde la 10.5 hasta la actual 13.0 y permitió que un atacante no autorizado ejecutara código malicioso en el sistema, convirtiendo prácticamente a NetScaler en una plataforma para futuros ataques a la red interna.
Simultáneamente con la publicación de información sobre la vulnerabilidad, Citrix publicó recomendaciones para reducir el riesgo (Workaround). El cierre completo de la vulnerabilidad no se prometió hasta finales de enero de 2020.
La gravedad de esta vulnerabilidad (número CVE-2019-19781) fue . De acuerdo a La vulnerabilidad afecta a más de 80 empresas en todo el mundo.
Posible reacción a la noticia.
Como persona responsable, asumí que todos los profesionales de TI con productos NetScaler en su infraestructura hacían lo siguiente:
- implementó de inmediato todas las recomendaciones para minimizar el riesgo especificadas en el artículo CTX267679.
- Volví a verificar la configuración del Firewall en términos de tráfico permitido desde NetScaler hacia la red interna.
- Recomendó que los administradores de seguridad de TI presten atención a los intentos "inusuales" de acceder a NetScaler y, si es necesario, los bloqueen. Permítanme recordarles que NetScaler generalmente se encuentra en la DMZ.
- evaluó la posibilidad de desconectar temporalmente NetScaler de la red hasta obtener información más detallada sobre el problema. Durante las vacaciones previas a Navidad, vacaciones, etc., esto no sería tan doloroso. Además, muchas empresas disponen de una opción de acceso alternativa mediante VPN.
¿Qué pasó después?
Desafortunadamente, como quedará claro más adelante, la mayoría ignoró los pasos anteriores, que son el enfoque estándar.
Muchos especialistas responsables de la infraestructura de Citrix se enteraron de la vulnerabilidad recién el 13.01.2020 de enero de XNUMX. . Se enteraron cuando una gran cantidad de sistemas bajo su responsabilidad estaban comprometidos. Lo absurdo de la situación llegó al punto de que los exploits necesarios para ello podrían ser completamente .
Por alguna razón, creía que los especialistas en TI leen los correos de los fabricantes, los sistemas que les confían, saben cómo usar Twitter, se suscriben a los principales expertos en su campo y están obligados a mantenerse al tanto de la actualidad.
De hecho, durante más de tres semanas, numerosos clientes de Citrix ignoraron por completo las recomendaciones del fabricante. Y entre los clientes de Citrix se incluyen casi todas las empresas grandes y medianas de Alemania, así como casi todas las agencias gubernamentales. En primer lugar, la vulnerabilidad afectó a las estructuras gubernamentales.
Pero hay algo que hacer
Aquellos cuyos sistemas se hayan visto comprometidos necesitan una reinstalación completa, incluido el reemplazo de los certificados TSL. Quizás aquellos clientes de Citrix que esperaban que el fabricante tomara medidas más activas para eliminar la vulnerabilidad crítica busquen seriamente una alternativa. Tenemos que admitir que la respuesta de Citrix no es alentadora.
Más preguntas que respuestas.
Surge la pregunta: ¿qué estaban haciendo los numerosos socios de Citrix, platino y oro? ¿Por qué la información necesaria apareció en las páginas de algunos socios de Citrix recién en la tercera semana de 3? Es evidente que los consultores externos altamente remunerados también se quedaron dormidos durante esta peligrosa situación. No quiero ofender a nadie, pero la tarea de un socio es principalmente evitar que surjan problemas y no ofrecer = vender ayuda para eliminarlos.
De hecho, esta situación mostró la situación real en el ámbito de la seguridad informática. Tanto los empleados de los departamentos de TI de las empresas como los consultores de las empresas asociadas de Citrix deben comprender una verdad: si hay una vulnerabilidad, hay que eliminarla. Bueno, ¡una vulnerabilidad crítica debe eliminarse de inmediato!
Fuente: habr.com