Estimado lector, en primeiro lugar gustaríame sinalar que, como residente de Alemaña, estou describindo principalmente a situación neste país. Quizais a situación no teu país sexa radicalmente diferente.
O 17 de decembro de 2019 publicouse información na páxina do Citrix Knowledge Center sobre unha vulnerabilidade crítica nas liñas de produtos Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway, coñecidas popularmente como NetScaler Gateway. Máis tarde, tamén se atopou unha vulnerabilidade na liña SD-WAN. A vulnerabilidade afectou a todas as versións do produto desde a 10.5 ata a actual 13.0 e permitiu que un atacante non autorizado executase código malicioso no sistema, convertendo practicamente a NetScaler nunha plataforma para novos ataques á rede interna.
Simultaneamente á publicación de información sobre a vulnerabilidade, Citrix publicou recomendacións para reducir o risco (Workaround). O peche completo da vulnerabilidade só se prometeu a finais de xaneiro de 2020.
A gravidade desta vulnerabilidade (número CVE-2019-19781) foi . Segundo A vulnerabilidade afecta a máis de 80 empresas en todo o mundo.
Posible reacción ante a noticia
Como persoa responsable, asumín que todos os profesionais de TI con produtos NetScaler na súa infraestrutura fixeron o seguinte:
- implementou inmediatamente todas as recomendacións para minimizar o risco especificado no artigo CTX267679.
- volveu comprobar a configuración do Firewall en termos de tráfico permitido desde NetScaler cara á rede interna.
- recomendou aos administradores de seguridade de TI que presten atención aos intentos "inusuales" de acceder a NetScaler e, se é necesario, bloquealos. Permíteme lembrarche que NetScaler adoita estar situado na DMZ.
- avaliou a posibilidade de desconectar temporalmente NetScaler da rede ata que se obteña información máis detallada sobre o problema. Durante as vacacións previas ao Nadal, vacacións, etc., isto non sería tan doloroso. Ademais, moitas empresas teñen unha opción de acceso alternativa a través de VPN.
Que pasou despois?
Desafortunadamente, como quedará claro máis adiante, os pasos anteriores, que son o enfoque estándar, foron ignorados pola maioría.
Moitos especialistas responsables da infraestrutura de Citrix decatáronse da vulnerabilidade só o 13.01.2020 de xaneiro de XNUMX . Descubriron cando un gran número de sistemas baixo a súa responsabilidade foron comprometidos. O absurdo da situación chegou ao punto de que as fazañas necesarias para iso poderían ser completamente .
Por algunha razón, cría que os especialistas informáticos len correos dos fabricantes, sistemas que se lles encomendaron, saben usar Twitter, subscríbanse a expertos líderes na súa materia e están obrigados a estar ao tanto da actualidade.
De feito, durante máis de tres semanas, numerosos clientes de Citrix ignoraron por completo as recomendacións do fabricante. E os clientes de Citrix inclúen case todas as empresas grandes e medianas de Alemaña, así como case todas as axencias gobernamentais. En primeiro lugar, a vulnerabilidade afectou ás estruturas gobernamentais.
Pero hai algo que facer
Aqueles cuxos sistemas foron comprometidos precisan dunha reinstalación completa, incluíndo a substitución dos certificados TSL. Quizais aqueles clientes de Citrix que esperaban que o fabricante tomase medidas máis activas para eliminar a vulnerabilidade crítica buscarán seriamente unha alternativa. Temos que admitir que a resposta de Citrix non é alentadora.
Hai máis preguntas que respostas
Xorde a pregunta, que estaban facendo os numerosos socios de Citrix, platino e ouro? Por que apareceu a información necesaria nas páxinas dalgúns socios de Citrix só na 3a semana de 2020? É obvio que os consultores externos moi ben pagados tamén durmiron nesta situación perigosa. Non quero ofender a ninguén, pero a tarefa dun compañeiro é sobre todo evitar que xurdan problemas, e non ofrecer = vender axuda para eliminalos.
De feito, esta situación amosou o estado real de cousas no ámbito da seguridade informática. Tanto os empregados dos departamentos de TI das empresas como os consultores das empresas socias de Citrix deben entender unha verdade: se hai unha vulnerabilidade, hai que eliminala. Ben, unha vulnerabilidade crítica debe ser eliminada inmediatamente!
Fonte: www.habr.com