چگونه آسیب‌پذیری حیاتی Citrix NetScaler CVE-2019-19781 مشکلات پنهان در صنعت فناوری اطلاعات را آشکار کرد.

خواننده عزیز، اول از همه می خواهم به این نکته اشاره کنم که من به عنوان مقیم آلمان، در درجه اول وضعیت این کشور را توصیف می کنم. شاید وضعیت کشور شما کاملاً متفاوت باشد.

در 17 دسامبر 2019، اطلاعاتی در صفحه مرکز دانش Citrix درباره یک آسیب‌پذیری حیاتی در خطوط تولید Citrix Application Delivery Controller (NetScaler ADC) و Citrix Gateway منتشر شد که معروف به NetScaler Gateway است. بعداً یک آسیب‌پذیری در خط SD-WAN نیز یافت شد. این آسیب پذیری تمامی نسخه های محصول از 10.5 تا 13.0 فعلی را تحت تاثیر قرار داد و به یک مهاجم غیرمجاز اجازه داد تا کدهای مخرب را روی سیستم اجرا کند و عملا NetScaler را به پلتفرمی برای حملات بیشتر به شبکه داخلی تبدیل کند.

• CTX267027: CVE-2019-19781 - آسیب پذیری در کنترل کننده تحویل برنامه Citrix
• CTX267679: مراحل کاهش برای CVE-2019-19781
• CTX269180: CVE-2019-19781 - ابزار تأیید (منتشر شده در 15.01.2020/XNUMX/XNUMX!)

همزمان با انتشار اطلاعات مربوط به آسیب‌پذیری، سیتریکس توصیه‌هایی برای کاهش خطر (راهکار) منتشر کرد. بسته شدن کامل این آسیب پذیری تنها تا پایان ژانویه 2020 وعده داده شده بود.

شدت این آسیب پذیری (شماره CVE-2019-19781) امتیاز 9.8 از 10. طبق اطلاعات از Positive Technologies این آسیب پذیری بیش از 80 شرکت را در سراسر جهان تحت تاثیر قرار داده است.

واکنش احتمالی به این خبر

به عنوان یک فرد مسئول، من فرض کردم که همه متخصصان فناوری اطلاعات با محصولات NetScaler در زیرساخت خود موارد زیر را انجام می دهند:

1. بلافاصله تمام توصیه های مربوط به به حداقل رساندن خطر مشخص شده در ماده CTX267679 را اجرا کرد.
2. تنظیمات فایروال را از نظر ترافیک مجاز از NetScaler به سمت شبکه داخلی دوباره بررسی کرد.
3. توصیه می‌کند که مدیران امنیت فناوری اطلاعات به تلاش‌های غیرمعمول برای دسترسی به NetScaler توجه کنند و در صورت لزوم آنها را مسدود کنند. اجازه دهید به شما یادآوری کنم که NetScaler معمولاً در DMZ قرار دارد.
4. امکان قطع موقت NetScaler از شبکه را تا زمانی که اطلاعات دقیق تری در مورد مشکل به دست آید، ارزیابی کرد. در طول تعطیلات قبل از کریسمس، تعطیلات و غیره، این امر چندان دردناک نخواهد بود. علاوه بر این، بسیاری از شرکت ها یک گزینه دسترسی جایگزین از طریق VPN دارند.

بعد چه اتفاقی افتاد؟

متأسفانه، همانطور که بعداً مشخص خواهد شد، مراحل فوق که رویکرد استاندارد است، توسط اکثر افراد نادیده گرفته شد.

بسیاری از متخصصان مسئول زیرساخت Citrix فقط در 13.01.2020 ژانویه XNUMX در مورد این آسیب پذیری مطلع شدند. از اخبار مرکزی. آنها متوجه شدند که تعداد زیادی از سیستم های تحت مسئولیت آنها به خطر افتاده است. پوچ بودن وضعیت به جایی رسید که بهره برداری های لازم برای این امر می تواند کاملاً باشد به صورت قانونی در اینترنت دانلود کنید.
بنا به دلایلی، من معتقد بودم که متخصصان فناوری اطلاعات نامه‌های تولیدکنندگان، سیستم‌هایی که به آنها سپرده شده است را می‌خوانند، می‌دانند چگونه از توییتر استفاده کنند، مشترک متخصصان برجسته در زمینه خود می‌شوند و موظف هستند در جریان رویدادهای جاری باشند.

در واقع، برای بیش از سه هفته، مشتریان متعدد Citrix به طور کامل توصیه های سازنده را نادیده گرفتند. و مشتریان سیتریکس تقریباً همه شرکت‌های بزرگ و متوسط ​​در آلمان و همچنین تقریباً همه سازمان‌های دولتی را شامل می‌شوند. اول از همه، این آسیب پذیری ساختارهای دولتی را تحت تأثیر قرار داد.

اما کاری برای انجام دادن وجود دارد

آنهایی که سیستم آنها در معرض خطر قرار گرفته است نیاز به نصب مجدد کامل، از جمله جایگزینی گواهینامه های TSL دارند. شاید آن دسته از مشتریان Citrix که انتظار داشتند سازنده اقدامات فعال تری در حذف آسیب پذیری بحرانی انجام دهد، به طور جدی به دنبال جایگزینی باشند. باید بپذیریم که واکنش سیتریکس دلگرم کننده نیست.

سوالات بیشتر از پاسخ

این سوال پیش می آید که شرکای متعدد سیتریکس، پلاتین و طلا، چه می کردند؟ چرا اطلاعات لازم در صفحات برخی از شرکای Citrix فقط در هفته سوم سال 3 ظاهر شد؟ بدیهی است که مشاوران خارجی پردرآمد نیز در این وضعیت خطرناک خوابیدند. من نمی خواهم به کسی توهین کنم، اما وظیفه شریک در درجه اول جلوگیری از بروز مشکلات است و نه ارائه = فروش کمک برای از بین بردن آنها.

در واقع این وضعیت نشان دهنده وضعیت واقعی در حوزه امنیت فناوری اطلاعات بود. هم کارمندان بخش فناوری اطلاعات شرکت ها و هم مشاوران شرکت های شریک سیتریکس باید یک حقیقت را درک کنند: اگر آسیب پذیری وجود دارد، باید از بین برود. خب، یک آسیب پذیری بحرانی باید فوراً از بین برود!

منبع: www.habr.com