ProHoster > Blog > Adminisztráció > Hogyan fedte fel a CVE-2019-19781 kritikus Citrix NetScaler biztonsági rése az IT-ipar rejtett problémáit?
Hogyan fedte fel a CVE-2019-19781 kritikus Citrix NetScaler biztonsági rése az IT-ipar rejtett problémáit?
Kedves olvasó, mindenekelőtt szeretném leszögezni, hogy Németországban élőként elsősorban ezen ország helyzetét írom le. Talán gyökeresen más a helyzet az Ön országában.
17. december 2019-én a Citrix Knowledge Center oldalán tájékoztatást tettek közzé a Citrix Application Delivery Controller (NetScaler ADC) és a Citrix Gateway termékcsalád, közismertebb nevén NetScaler Gateway egy kritikus sebezhetőségéről. Később az SD-WAN vonalon is találtak egy biztonsági rést. A sérülékenység az összes termékverziót érintette a 10.5-től a jelenlegi 13.0-ig, és lehetővé tette egy illetéktelen támadó számára, hogy rosszindulatú kódot hajtson végre a rendszeren, gyakorlatilag a NetScalert a belső hálózat elleni további támadások platformjává változtatta.
A sérülékenységgel kapcsolatos információk közzétételével egyidejűleg a Citrix ajánlásokat tett közzé a kockázat csökkentésére (kerülő). A sérülékenység teljes bezárását csak 2020. január végére ígérték.
Felelős személyként feltételeztem, hogy az infrastruktúrájában NetScaler termékekkel rendelkező IT-szakemberek a következőket tettek:
azonnal végrehajtotta a CTX267679 cikkben meghatározott összes ajánlást a kockázat minimalizálására.
újra ellenőrizte a tűzfal beállításait a NetScalertől a belső hálózat felé irányuló engedélyezett forgalom szempontjából.
javasolta, hogy az IT-biztonsági adminisztrátorok figyeljenek oda a „szokatlan” NetScaler-hozzáférési kísérletekre, és szükség esetén blokkolják azokat. Hadd emlékeztesselek arra, hogy a NetScaler általában a DMZ-ben található.
megvizsgálta a NetScaler hálózatról való ideiglenes leválasztásának lehetőségét mindaddig, amíg részletesebb információkat nem szerez a problémáról. A karácsony előtti ünnepek, nyaralások stb. idején ez nem lenne olyan fájdalmas. Ezenkívül sok cégnek van alternatív hozzáférési lehetősége VPN-en keresztül.
Aztán mi történt?
Sajnos, mint a későbbiekben kiderül, a fenti lépéseket, amelyek a szokásos megközelítés, a legtöbben figyelmen kívül hagyták.
Sok Citrix infrastruktúráért felelős szakember csak 13.01.2020. január XNUMX-án szerzett tudomást a sérülékenységről központi hírekből. Akkor jöttek rá, amikor nagyszámú, felelősségük alá tartozó rendszer kompromittálódott. A helyzet abszurditása odáig fajult, hogy az ehhez szükséges zsákmányok teljes mértékben megvalósulhatnak legálisan letölthető az internetről.
Valamiért azt hittem, hogy az informatikusok elolvassák a gyártók leveleit, a rájuk bízott rendszereket, ismerik a Twitter használatát, előfizetnek szakterületük vezető szakértőire, és kötelesek lépést tartani az aktuális eseményekkel.
Valójában több mint három hétig számos Citrix-ügyfél teljesen figyelmen kívül hagyta a gyártó ajánlásait. A Citrix ügyfelei között pedig szinte az összes németországi nagy- és középvállalat, valamint szinte az összes kormányzati ügynökség szerepel. A kiszolgáltatottság mindenekelőtt a kormányzati struktúrákat érintette.
De van mit tenni
Azoknak, akiknek rendszere feltört, teljes újratelepítésre van szükség, beleértve a TSL-tanúsítványok cseréjét. Talán azok a Citrix-ügyfelek, akik azt várták, hogy a gyártó aktívabb lépéseket tegyen a kritikus sérülékenység megszüntetése érdekében, komolyan alternatívát keresnek. El kell ismernünk, hogy Citrix reakciója nem biztató.
Több kérdés, mint válasz
Felmerül a kérdés, hogy mit csinált a Citrix számos partnere, a platina és az arany? Miért csak 3 2020. hetében jelentek meg a szükséges információk egyes Citrix partnerek oldalain? Nyilvánvaló, hogy a jól fizetett külső tanácsadók is átaludták ezt a veszélyes helyzetet. Nem akarok senkit megbántani, de a partner feladata elsősorban a problémák megelőzése, nem pedig az, hogy segítséget ajánljon = eladjon azok megszüntetésében.
Valójában ez a helyzet mutatta meg az informatikai biztonság területének valós állapotát. A cégek informatikai részlegének dolgozóinak és a Citrix partnercégek tanácsadóinak egyaránt meg kell érteniük egy igazságot: ha van sebezhetőség, azt meg kell szüntetni. Nos, egy kritikus sebezhetőséget azonnal meg kell szüntetni!