Poštovani čitatelju, prije svega želim istaknuti da kao stanovnik Njemačke prvenstveno opisujem situaciju u ovoj zemlji. Možda je situacija u vašoj zemlji radikalno drugačija.
Dana 17. prosinca 2019. na stranici Citrix Knowledge Center objavljene su informacije o kritičnoj ranjivosti u linijama proizvoda Citrix Application Delivery Controller (NetScaler ADC) i Citrix Gateway, popularno poznatim kao NetScaler Gateway. Kasnije je također pronađena ranjivost u SD-WAN liniji. Ranjivost je zahvatila sve verzije proizvoda od 10.5 do trenutne 13.0 i omogućila je neovlaštenom napadaču da izvrši zlonamjerni kod na sustavu, praktički pretvarajući NetScaler u platformu za daljnje napade na internu mrežu.
Istovremeno s objavom informacija o ranjivosti, Citrix je objavio preporuke za smanjenje rizika (Workaround). Potpuno zatvaranje ranjivosti obećano je tek do kraja siječnja 2020.
Ozbiljnost ove ranjivosti (broj CVE-2019-19781) bila je , Prema Ranjivost utječe na više od 80 tvrtki diljem svijeta.
Moguća reakcija na vijest
Kao odgovorna osoba, pretpostavio sam da su svi IT stručnjaci s NetScaler proizvodima u svojoj infrastrukturi napravili sljedeće:
- odmah implementirao sve preporuke za smanjenje rizika navedenih u članku CTX267679.
- ponovno provjerio postavke vatrozida u smislu dopuštenog prometa od NetScalera prema internoj mreži.
- preporučuje da administratori za IT sigurnost obrate pozornost na “neuobičajene” pokušaje pristupa NetScaleru i da ih, ako je potrebno, blokiraju. Podsjetit ću vas da se NetScaler obično nalazi u DMZ-u.
- procijenio je mogućnost privremenog isključivanja NetScalera s mreže do dobivanja detaljnijih informacija o problemu. Za vrijeme predbožićnih praznika, godišnjih odmora i sl. ovo ne bi bilo tako bolno. Osim toga, mnoge tvrtke imaju alternativnu opciju pristupa putem VPN-a.
Što se dogodilo sljedeće?
Nažalost, kao što će kasnije postati jasno, većina je zanemarila gore navedene korake, koji su standardni pristup.
Mnogi stručnjaci odgovorni za Citrix infrastrukturu saznali su za ranjivost tek 13.01.2020. siječnja XNUMX. . Saznali su kada je ogroman broj sustava pod njihovom odgovornošću bio ugrožen. Apsurdnost situacije dosegla je točku da su podvigi potrebni za to mogli biti potpuno .
Iz nekog sam razloga vjerovao da informatičari čitaju mailove proizvođača, sustave koji su im povjereni, znaju koristiti Twitter, pretplatiti se na vodeće stručnjake u svom području i dužni su biti u toku s aktualnim događanjima.
Naime, više od tri tjedna brojni kupci Citrixa potpuno su ignorirali preporuke proizvođača. A klijenti Citrixa uključuju gotovo sve velike i srednje tvrtke u Njemačkoj, kao i gotovo sve vladine agencije. Prije svega, ranjivost je pogodila vladine strukture.
Ali postoji nešto za učiniti
Oni čiji su sustavi bili ugroženi trebaju potpunu ponovnu instalaciju, uključujući zamjenu TSL certifikata. Možda će oni kupci Citrixa koji su očekivali da će proizvođač poduzeti aktivniju akciju u uklanjanju kritične ranjivosti ozbiljno potražiti alternativu. Moramo priznati da reakcija Citrixa nije ohrabrujuća.
Više je pitanja nego odgovora
Postavlja se pitanje što su radili brojni partneri Citrixa, platina i zlato? Zašto su se potrebne informacije pojavile na stranicama nekih Citrix partnera tek u 3. tjednu 2020. godine? Očito je da su ovu opasnu situaciju prespavali i visoko plaćeni vanjski konzultanti. Ne želim nikoga uvrijediti, ali zadatak partnera je prvenstveno spriječiti nastanak problema, a ne ponuditi=prodati pomoć u njihovom otklanjanju.
Zapravo, ova situacija je pokazala pravo stanje stvari na području IT sigurnosti. I zaposlenici IT odjela tvrtki i konzultanti Citrixovih partnerskih tvrtki trebali bi razumjeti jednu istinu: ako postoji ranjivost, mora se ukloniti. Pa, kritična ranjivost mora se odmah ukloniti!
Izvor: www.habr.com