Hyvä lukija, ensiksi haluan huomauttaa, että Saksan asukkaana kuvailen ensisijaisesti tämän maan tilannetta. Ehkä tilanne maassasi on radikaalisti erilainen.
17. joulukuuta 2019 Citrix Knowledge Center -sivulla julkaistiin tietoa Citrix Application Delivery Controllerin (NetScaler ADC) ja Citrix Gateway -tuotelinjojen kriittisestä haavoittuvuudesta, joka tunnetaan yleisesti nimellä NetScaler Gateway. Myöhemmin haavoittuvuus löydettiin myös SD-WAN-linjasta. Haavoittuvuus vaikutti kaikkiin tuoteversioihin 10.5:stä nykyiseen 13.0:aan ja antoi luvattomille hyökkääjille mahdollisuuden suorittaa haitallista koodia järjestelmässä, mikä käytännössä muutti NetScalerin alustaksi lisähyökkäyksille sisäverkkoon.
Samanaikaisesti haavoittuvuutta koskevien tietojen julkaisemisen kanssa Citrix julkaisi suosituksia riskin vähentämiseksi (Workaround). Haavoittuvuuden täydellinen sulkeminen luvattiin vasta tammikuun 2020 loppuun mennessä.
Tämän haavoittuvuuden (numero CVE-2019-19781) vakavuus oli . Mukaan Haavoittuvuus vaikuttaa yli 80 000 yritykseen maailmanlaajuisesti.
Mahdollinen reaktio uutiseen
Vastuullisena henkilönä oletin, että kaikki IT-ammattilaiset, joilla on NetScaler-tuotteita infrastruktuurissaan, tekivät seuraavaa:
- pani välittömästi täytäntöön kaikki artikkelissa CTX267679 määritellyt suositukset riskin minimoimiseksi.
- tarkisti palomuuriasetukset uudelleen sallitun liikenteen suhteen NetScalerista sisäiseen verkkoon.
- suositteli, että tietoturvapäälliköt kiinnittävät huomiota "epätavallisiin" NetScaleriin pääsyyrityksiin ja tarvittaessa estävät ne. Haluan muistuttaa, että NetScaler sijaitsee yleensä DMZ:ssä.
- arvioi mahdollisuutta katkaista NetScaler tilapäisesti verkosta, kunnes ongelmasta on saatu tarkempia tietoja. Joulua edeltävien lomien, lomien jne. aikana tämä ei olisi niin tuskallista. Lisäksi monilla yrityksillä on vaihtoehtoinen pääsymahdollisuus VPN:n kautta.
Mitä tapahtui seuraavaksi?
Valitettavasti, kuten myöhemmin käy ilmi, useimmat jättivät huomioimatta yllä olevat vaiheet, jotka ovat vakiolähestymistapa.
Monet Citrixin infrastruktuurista vastaavat asiantuntijat saivat tietää haavoittuvuudesta vasta 13.01.2020 . He saivat selville, kun valtava määrä heidän vastuullaan olevia järjestelmiä vaarantui. Tilanteen järjettömyys ylsi siihen pisteeseen, että tähän tarvittavat hyväksikäytöt saattoivat olla täysin .
Jostain syystä uskoin, että IT-asiantuntijat lukevat valmistajien sähköpostit, heille uskotut järjestelmät, osaavat käyttää Twitteriä, tilaavat alansa johtavia asiantuntijoita ja ovat velvollisia pysymään ajan tasalla.
Itse asiassa useat Citrixin asiakkaat jättivät yli kolmen viikon ajan täysin huomiotta valmistajan suositukset. Ja Citrixin asiakkaita ovat lähes kaikki Saksan suuret ja keskisuuret yritykset sekä lähes kaikki valtion virastot. Ensinnäkin haavoittuvuus vaikutti hallituksen rakenteisiin.
Mutta on jotain tekemistä
Ne, joiden järjestelmät ovat vaarantuneet, tarvitsevat täydellisen uudelleenasennuksen, mukaan lukien TSL-varmenteiden vaihtamisen. Ehkä ne Citrixin asiakkaat, jotka odottivat valmistajan aktiivisemmin poistavan kriittisen haavoittuvuuden, etsivät vakavasti vaihtoehtoa. Meidän on myönnettävä, että Citrixin vastaus ei ole rohkaiseva.
Enemmän kysymyksiä kuin vastauksia
Herää kysymys, mitä Citrixin lukuisat kumppanit, platina ja kulta, tekivät? Miksi tarvittavat tiedot ilmestyivät joidenkin Citrix-kumppanien sivuille vasta vuoden 3 kolmannella viikolla? On selvää, että myös korkeasti palkatut ulkopuoliset konsultit nukkuivat tämän vaarallisen tilanteen läpi. En halua loukata ketään, mutta kumppanin tehtävänä on ensisijaisesti estää ongelmien syntymistä, eikä tarjota = myydä apua niiden poistamiseen.
Itse asiassa tämä tilanne osoitti IT-turvallisuuden todellisen tilan. Sekä yritysten IT-osastojen työntekijöiden että Citrix-kumppaniyritysten konsulttien tulisi ymmärtää yksi totuus: jos haavoittuvuus on olemassa, se on poistettava. No, kriittinen haavoittuvuus on poistettava välittömästi!
Lähde: will.com