Kæri lesandi, fyrst og fremst vil ég benda á að sem íbúi í Þýskalandi er ég fyrst og fremst að lýsa ástandinu hér á landi. Kannski er ástandið í þínu landi gjörbreytt.
Þann 17. desember 2019 voru upplýsingar birtar á Citrix Knowledge Center síðunni um mikilvægan varnarleysi í Citrix Application Delivery Controller (NetScaler ADC) og Citrix Gateway vörulínum, almennt þekkt sem NetScaler Gateway. Síðar fannst einnig varnarleysi í SD-WAN línunni. Varnarleysið hafði áhrif á allar vöruútgáfur frá 10.5 til núverandi 13.0 og gerði óviðkomandi árásarmanni kleift að keyra skaðlegan kóða á kerfinu, sem gerði NetScaler nánast að vettvangi fyrir frekari árásir á innra netið.
Samhliða birtingu upplýsinga um varnarleysið birti Citrix ráðleggingar til að draga úr áhættunni (Workaround). Aðeins var lofað að loka varnarleysinu í lok janúar 2020.
Alvarleiki þessa varnarleysis (númer CVE-2019-19781) var . Samkvæmt Varnarleysið hefur áhrif á meira en 80 fyrirtæki um allan heim.
Hugsanleg viðbrögð við fréttinni
Sem ábyrgur einstaklingur gerði ég ráð fyrir að allir upplýsingatæknifræðingar með NetScaler vörur í innviðum sínum gerðu eftirfarandi:
- innleiddi strax allar ráðleggingar til að lágmarka áhættuna sem tilgreind er í grein CTX267679.
- endurskoðaði eldveggsstillingarnar hvað varðar leyfilega umferð frá NetScaler í átt að innra neti.
- mælt með því að upplýsingatækniöryggisstjórar taki eftir „óvenjulegum“ tilraunum til að fá aðgang að NetScaler og, ef nauðsyn krefur, loka þeim. Leyfðu mér að minna þig á að NetScaler er venjulega staðsett í DMZ.
- metið möguleikann á að aftengja NetScaler tímabundið frá netinu þar til ítarlegri upplýsingar um vandamálið liggja fyrir. Í fríi fyrir jól, frí o.s.frv., væri þetta ekki svo sárt. Að auki hafa mörg fyrirtæki annan aðgangsvalkost í gegnum VPN.
Hvað gerðist næst?
Því miður, eins og síðar mun koma í ljós, voru ofangreind skref, sem eru staðlað nálgun, hunsuð af flestum.
Margir sérfræðingar sem bera ábyrgð á Citrix innviðum lærðu um varnarleysið aðeins þann 13.01.2020. janúar XNUMX . Þeir komust að því þegar gríðarlegur fjöldi kerfa á þeirra ábyrgð var í hættu. Fáránleiki ástandsins náði því marki að arðránin sem nauðsynleg eru til þess gætu verið algjörlega .
Einhverra hluta vegna taldi ég að upplýsingatæknisérfræðingar lesi póst frá framleiðendum, kerfi sem þeim er trúað fyrir, kunni að nota Twitter, gerist áskrifandi að leiðandi sérfræðingum á sínu sviði og sé skylt að fylgjast vel með atburðum líðandi stundar.
Reyndar, í meira en þrjár vikur, hunsuðu fjölmargir viðskiptavinir Citrix alfarið ráðleggingar framleiðandans. Og meðal viðskiptavina Citrix eru nánast öll stór og meðalstór fyrirtæki í Þýskalandi, sem og næstum allar ríkisstofnanir. Í fyrsta lagi hafði varnarleysið áhrif á stjórnskipulag.
En það er eitthvað að gera
Þeir sem hafa verið í hættu þurfa að setja upp algjörlega aftur, þar á meðal að skipta um TSL vottorð. Kannski munu þeir Citrix viðskiptavinir sem bjuggust við að framleiðandinn myndi grípa til virkari aðgerða til að útrýma mikilvægu varnarleysinu alvarlega að leita að vali. Við verðum að viðurkenna að viðbrögð Citrix eru ekki uppörvandi.
Það eru fleiri spurningar en svör
Spurningin vaknar, hvað voru hinir fjölmörgu samstarfsaðilar Citrix, platínu og gull, að gera? Hvers vegna birtust nauðsynlegar upplýsingar á síðum sumra Citrix samstarfsaðila aðeins í 3. viku 2020? Það er augljóst að hálaunaðir utanaðkomandi ráðgjafar sváfu líka í gegnum þetta hættulega ástand. Ég vil ekki móðga neinn, en verkefni félaga er fyrst og fremst að koma í veg fyrir að vandamál komi upp, en ekki að bjóða = selja hjálp við að útrýma þeim.
Í raun sýndi þetta ástand raunverulegt ástand mála á sviði upplýsingatækniöryggis. Bæði starfsmenn upplýsingatæknideilda fyrirtækja og ráðgjafar Citrix samstarfsfyrirtækja ættu að skilja einn sannleika: ef það er veikleiki verður að útrýma honum. Jæja, mikilvægt varnarleysi verður að útrýma strax!
Heimild: www.habr.com