Caro lettore, vorrei innanzitutto sottolineare che, essendo residente in Germania, descrivo principalmente la situazione in questo paese. Forse la situazione nel tuo paese è radicalmente diversa.
Il 17 dicembre 2019, sulla pagina del Citrix Knowledge Center sono state pubblicate informazioni su una vulnerabilità critica nelle linee di prodotti Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway, popolarmente note come NetScaler Gateway. Successivamente è stata rilevata una vulnerabilità anche nella linea SD-WAN. La vulnerabilità ha colpito tutte le versioni del prodotto dalla 10.5 all'attuale 13.0 e ha consentito a un utente malintenzionato non autorizzato di eseguire codice dannoso sul sistema, trasformando praticamente NetScaler in una piattaforma per ulteriori attacchi alla rete interna.
Contemporaneamente alla pubblicazione delle informazioni sulla vulnerabilità, Citrix ha pubblicato raccomandazioni per ridurre il rischio (Workaround). La completa chiusura della vulnerabilità è stata promessa solo entro la fine di gennaio 2020.
La gravità di questa vulnerabilità (numero CVE-2019-19781) era . Secondo La vulnerabilità colpisce più di 80 aziende in tutto il mondo.
Possibile reazione alla notizia
In qualità di persona responsabile, presumo che tutti i professionisti IT con prodotti NetScaler nella propria infrastruttura facessero quanto segue:
- ha immediatamente attuato tutte le raccomandazioni per ridurre al minimo il rischio specificate nell'articolo CTX267679.
- ricontrollato le impostazioni del Firewall in termini di traffico consentito da NetScaler verso la rete interna.
- ha raccomandato agli amministratori della sicurezza IT di prestare attenzione ai tentativi “insoliti” di accedere a NetScaler e, se necessario, di bloccarli. Lascia che ti ricordi che NetScaler si trova solitamente nella DMZ.
- valutato la possibilità di disconnettere temporaneamente NetScaler dalla rete fino ad ottenere informazioni più dettagliate sul problema. Durante le vacanze prenatalizie, le vacanze, ecc., questo non sarebbe così doloroso. Inoltre molte aziende offrono un’opzione di accesso alternativa tramite VPN.
Quello che è successo dopo?
Sfortunatamente, come risulterà chiaro in seguito, i passaggi precedenti, che rappresentano l’approccio standard, sono stati ignorati dalla maggior parte.
Molti specialisti responsabili dell’infrastruttura Citrix sono venuti a conoscenza della vulnerabilità solo il 13.01.2020 gennaio XNUMX . Hanno scoperto che un numero enorme di sistemi sotto la loro responsabilità sono stati compromessi. L'assurdità della situazione è arrivata al punto che gli exploit necessari per questo potrebbero essere completamente .
Per qualche ragione, credevo che gli specialisti IT leggessero le mail dei produttori, i sistemi loro affidati, sapessero come usare Twitter, si iscrivessero ai maggiori esperti nel loro campo e fossero obbligati a tenersi al passo con l'attualità.
Infatti, per più di tre settimane, numerosi clienti Citrix hanno completamente ignorato le raccomandazioni del produttore. E tra i clienti di Citrix figurano quasi tutte le aziende tedesche di grandi e medie dimensioni, nonché quasi tutte le agenzie governative. Innanzitutto la vulnerabilità ha colpito le strutture governative.
Ma c'è qualcosa da fare
Coloro i cui sistemi sono stati compromessi necessitano di una reinstallazione completa, inclusa la sostituzione dei certificati TSL. Forse quei clienti Citrix che si aspettavano che il produttore intraprendesse un'azione più attiva per eliminare la vulnerabilità critica cercheranno seriamente un'alternativa. Dobbiamo ammettere che la risposta di Citrix non è incoraggiante.
Ci sono più domande che risposte
Sorge la domanda: cosa stavano facendo i numerosi partner di Citrix, Platinum e Gold? Perché le informazioni necessarie sono apparse sulle pagine di alcuni partner Citrix solo nella terza settimana del 3? È ovvio che anche i consulenti esterni ben pagati hanno dormito in questa situazione pericolosa. Non voglio offendere nessuno, ma il compito del partner è principalmente quello di prevenire l’insorgere dei problemi e non di offrire=vendere aiuto per eliminarli.
In effetti, questa situazione ha mostrato la reale situazione nel campo della sicurezza informatica. Sia i dipendenti dei dipartimenti IT delle aziende che i consulenti delle aziende partner di Citrix dovrebbero comprendere una verità: se esiste una vulnerabilità, deve essere eliminata. Bene, una vulnerabilità critica deve essere eliminata immediatamente!
Fonte: habr.com