Hea lugeja, esiteks juhin tähelepanu sellele, et Saksamaa elanikuna kirjeldan eelkõige olukorda selles riigis. Võib-olla on olukord teie riigis kardinaalselt erinev.
17. detsembril 2019 avaldati Citrix Knowledge Centeri lehel teave Citrixi rakenduste edastamise kontrolleri (NetScaler ADC) ja Citrix Gateway tootesarjade kriitilise haavatavuse kohta, mida rahvasuus nimetatakse NetScaler Gatewayks. Hiljem leiti haavatavus ka SD-WAN liinis. Haavatavus mõjutas kõiki tooteversioone alates 10.5 kuni praeguse versioonini 13.0 ja võimaldas volitamata ründajal käivitada süsteemis pahatahtlikku koodi, muutes NetScaleri praktiliselt platvormiks sisevõrgu edasiste rünnakute jaoks.
Samaaegselt haavatavuse kohta teabe avaldamisega avaldas Citrix soovitused riski vähendamiseks (Workaround). Haavatavuse täielikku sulgemist lubati alles 2020. aasta jaanuari lõpuks.
Selle haavatavuse (number CVE-2019-19781) raskusaste oli . Vastavalt See haavatavus mõjutab rohkem kui 80 000 ettevõtet kogu maailmas.
Võimalik reaktsioon uudisele
Vastutava isikuna eeldasin, et kõik IT-spetsialistid, kelle infrastruktuuris on NetScaleri tooteid, tegid järgmist:
- rakendas kohe kõik artiklis CTX267679 toodud soovitused riski minimeerimiseks.
- kontrollis tulemüüri sätteid NetScalerist sisevõrku suunduva lubatud liikluse osas.
- soovitas IT-turvaadministraatoritel pöörata tähelepanu "ebatavalistele" NetScaleri juurdepääsukatsetele ja vajadusel need blokeerida. Lubage mul teile meelde tuletada, et NetScaler asub tavaliselt DMZ-s.
- hindas võimalust NetScaler ajutiselt võrgust lahti ühendada, kuni probleemi kohta üksikasjalikumat teavet saadakse. Jõulueelsetel pühadel, puhkustel jne poleks see nii valus. Lisaks on paljudel ettevõtetel alternatiivne juurdepääsuvõimalus VPN-i kaudu.
Mis edasi sai?
Kahjuks, nagu hiljem selgub, eiras enamik ülaltoodud samme, mis on standardne lähenemine.
Paljud Citrixi taristu eest vastutavad spetsialistid said haavatavusest teada alles 13.01.2020. jaanuaril XNUMX . Nad said teada, kui suur hulk nende vastutusalasse kuuluvaid süsteeme ohustati. Olukorra absurdsus jõudis selleni, et selleks vajalikud ärakasutamised võiksid olla täiesti olemas .
Millegipärast uskusin, et IT-spetsialistid loevad tootjate kirju, neile usaldatud süsteeme, oskavad Twitterit kasutada, tellivad oma ala juhtivaid eksperte ja on kohustatud end jooksvate sündmustega kursis hoidma.
Tegelikult eirasid paljud Citrixi kliendid enam kui kolm nädalat täielikult tootja soovitusi. Ja Citrixi klientide hulka kuuluvad peaaegu kõik Saksamaa suured ja keskmise suurusega ettevõtted, samuti peaaegu kõik riigiasutused. Esiteks mõjutas haavatavus valitsusstruktuure.
Aga midagi on teha
Need, kelle süsteemid on ohustatud, vajavad täielikku uuesti installimist, sealhulgas TSL-sertifikaatide väljavahetamist. Võib-olla otsivad tõsiselt alternatiivi need Citrixi kliendid, kes ootasid tootjalt aktiivsemat tegutsemist kriitilise haavatavuse kõrvaldamiseks. Peame tunnistama, et Citrixi vastus ei ole julgustav.
Küsimusi on rohkem kui vastuseid
Tekib küsimus, mida tegid Citrixi arvukad partnerid, plaatina ja kuld? Miks ilmus vajalik info mõne Citrixi partneri lehtedele alles 3. aasta 2020. nädalal? Ilmselgelt magasid selle ohtliku olukorra maha ka kõrgelt tasustatud väliskonsultandid. Ma ei taha kedagi solvata, aga partneri ülesanne on eelkõige ennetada probleemide tekkimist, mitte pakkuda = müüa abi nende kõrvaldamisel.
Tegelikult näitas see olukord IT-turvalisuse valdkonna tegelikku seisu. Nii ettevõtete IT-osakondade töötajad kui ka Citrixi partnerettevõtete konsultandid peaksid mõistma üht tõde: kui on olemas haavatavus, tuleb see kõrvaldada. No kriitiline haavatavus tuleb kohe likvideerida!
Allikas: www.habr.com