ಆತ್ಮೀಯ ಓದುಗರೇ, ಮೊದಲನೆಯದಾಗಿ ನಾನು ಜರ್ಮನಿಯ ನಿವಾಸಿಯಾಗಿ, ಈ ದೇಶದ ಪರಿಸ್ಥಿತಿಯನ್ನು ಪ್ರಾಥಮಿಕವಾಗಿ ವಿವರಿಸುತ್ತಿದ್ದೇನೆ ಎಂದು ಸೂಚಿಸಲು ಬಯಸುತ್ತೇನೆ. ಬಹುಶಃ ನಿಮ್ಮ ದೇಶದ ಪರಿಸ್ಥಿತಿಯು ಸಂಪೂರ್ಣವಾಗಿ ವಿಭಿನ್ನವಾಗಿದೆ.
ಡಿಸೆಂಬರ್ 17, 2019 ರಂದು, Citrix ಅಪ್ಲಿಕೇಶನ್ ಡೆಲಿವರಿ ಕಂಟ್ರೋಲರ್ (NetScaler ADC) ಮತ್ತು Citrix Gateway ಉತ್ಪನ್ನ ಲೈನ್ಗಳಲ್ಲಿನ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು Citrix ಜ್ಞಾನ ಕೇಂದ್ರದ ಪುಟದಲ್ಲಿ ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಇದನ್ನು ಜನಪ್ರಿಯವಾಗಿ NetScaler Gateway ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ನಂತರ, SD-WAN ಲೈನ್ನಲ್ಲಿಯೂ ಒಂದು ದುರ್ಬಲತೆ ಕಂಡುಬಂದಿದೆ. ದುರ್ಬಲತೆಯು 10.5 ರಿಂದ ಪ್ರಸ್ತುತ 13.0 ವರೆಗಿನ ಎಲ್ಲಾ ಉತ್ಪನ್ನ ಆವೃತ್ತಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿತು ಮತ್ತು ಅನಧಿಕೃತ ಆಕ್ರಮಣಕಾರರಿಗೆ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು, ಪ್ರಾಯೋಗಿಕವಾಗಿ ನೆಟ್ಸ್ಕೇಲರ್ ಅನ್ನು ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಮತ್ತಷ್ಟು ದಾಳಿಗಳಿಗೆ ವೇದಿಕೆಯಾಗಿ ಪರಿವರ್ತಿಸುತ್ತದೆ.
ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯ ಪ್ರಕಟಣೆಯೊಂದಿಗೆ, ಸಿಟ್ರಿಕ್ಸ್ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಶಿಫಾರಸುಗಳನ್ನು ಪ್ರಕಟಿಸಿತು (ಪರಿಹಾರ). ದುರ್ಬಲತೆಯ ಸಂಪೂರ್ಣ ಮುಚ್ಚುವಿಕೆ ಜನವರಿ 2020 ರ ಅಂತ್ಯದ ವೇಳೆಗೆ ಮಾತ್ರ ಭರವಸೆ ನೀಡಲಾಯಿತು.
ಈ ದುರ್ಬಲತೆಯ ತೀವ್ರತೆ (ಸಂಖ್ಯೆ CVE-2019-19781) ... ರ ಪ್ರಕಾರ ದುರ್ಬಲತೆಯು ವಿಶ್ವಾದ್ಯಂತ 80 ಕ್ಕೂ ಹೆಚ್ಚು ಕಂಪನಿಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ.
ಸುದ್ದಿಗೆ ಸಂಭವನೀಯ ಪ್ರತಿಕ್ರಿಯೆ
ಜವಾಬ್ದಾರಿಯುತ ವ್ಯಕ್ತಿಯಾಗಿ, ತಮ್ಮ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ NetScaler ಉತ್ಪನ್ನಗಳನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲಾ IT ವೃತ್ತಿಪರರು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಮಾಡಿದ್ದಾರೆ ಎಂದು ನಾನು ಭಾವಿಸಿದೆ:
- CTX267679 ಲೇಖನದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಎಲ್ಲಾ ಶಿಫಾರಸುಗಳನ್ನು ತಕ್ಷಣವೇ ಜಾರಿಗೊಳಿಸಲಾಗಿದೆ.
- ನೆಟ್ಸ್ಕೇಲರ್ನಿಂದ ಆಂತರಿಕ ನೆಟ್ವರ್ಕ್ಗೆ ಅನುಮತಿಸಲಾದ ದಟ್ಟಣೆಯ ವಿಷಯದಲ್ಲಿ ಫೈರ್ವಾಲ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಮರುಪರಿಶೀಲಿಸಲಾಗಿದೆ.
- ನೆಟ್ಸ್ಕೇಲರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು "ಅಸಾಮಾನ್ಯ" ಪ್ರಯತ್ನಗಳಿಗೆ ಐಟಿ ಭದ್ರತಾ ನಿರ್ವಾಹಕರು ಗಮನಹರಿಸಬೇಕು ಮತ್ತು ಅಗತ್ಯವಿದ್ದರೆ ಅವುಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ. NetScaler ಸಾಮಾನ್ಯವಾಗಿ DMZ ನಲ್ಲಿದೆ ಎಂದು ನಾನು ನಿಮಗೆ ನೆನಪಿಸುತ್ತೇನೆ.
- ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ಹೆಚ್ಚು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯುವವರೆಗೆ ನೆಟ್ವರ್ಕ್ನಿಂದ NetScaler ಅನ್ನು ತಾತ್ಕಾಲಿಕವಾಗಿ ಸಂಪರ್ಕ ಕಡಿತಗೊಳಿಸುವ ಸಾಧ್ಯತೆಯನ್ನು ಮೌಲ್ಯಮಾಪನ ಮಾಡಿದೆ. ಕ್ರಿಸ್ಮಸ್ಗೆ ಮುಂಚಿನ ರಜಾದಿನಗಳು, ರಜೆಗಳು ಇತ್ಯಾದಿಗಳಲ್ಲಿ ಇದು ತುಂಬಾ ನೋವಿನಿಂದ ಕೂಡಿರುವುದಿಲ್ಲ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಅನೇಕ ಕಂಪನಿಗಳು VPN ಮೂಲಕ ಪರ್ಯಾಯ ಪ್ರವೇಶ ಆಯ್ಕೆಯನ್ನು ಹೊಂದಿವೆ.
ಮುಂದೆ ಏನಾಯಿತು?
ದುರದೃಷ್ಟವಶಾತ್, ಇದು ನಂತರ ಸ್ಪಷ್ಟವಾಗುತ್ತದೆ, ಪ್ರಮಾಣಿತ ವಿಧಾನವಾಗಿರುವ ಮೇಲಿನ ಹಂತಗಳನ್ನು ಹೆಚ್ಚಿನವರು ನಿರ್ಲಕ್ಷಿಸಿದ್ದಾರೆ.
ಸಿಟ್ರಿಕ್ಸ್ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಅನೇಕ ತಜ್ಞರು ಜನವರಿ 13.01.2020, XNUMX ರಂದು ಮಾತ್ರ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಕಲಿತರು . ತಮ್ಮ ಜವಾಬ್ದಾರಿಯ ಅಡಿಯಲ್ಲಿ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ವ್ಯವಸ್ಥೆಗಳು ರಾಜಿ ಮಾಡಿಕೊಂಡಾಗ ಅವರು ಕಂಡುಕೊಂಡರು. ಪರಿಸ್ಥಿತಿಯ ಅಸಂಬದ್ಧತೆಯು ಇದಕ್ಕೆ ಅಗತ್ಯವಾದ ಶೋಷಣೆಗಳು ಸಂಪೂರ್ಣವಾಗಿ ಆಗಿರಬಹುದು ಎಂಬ ಹಂತವನ್ನು ತಲುಪಿತು .
ಕೆಲವು ಕಾರಣಗಳಿಗಾಗಿ, ಐಟಿ ತಜ್ಞರು ತಯಾರಕರು, ಅವರಿಗೆ ವಹಿಸಿಕೊಟ್ಟಿರುವ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಮೇಲಿಂಗ್ಗಳನ್ನು ಓದುತ್ತಾರೆ, ಟ್ವಿಟರ್ ಅನ್ನು ಹೇಗೆ ಬಳಸುವುದು ಎಂದು ತಿಳಿದಿರುತ್ತಾರೆ, ಅವರ ಕ್ಷೇತ್ರದ ಪ್ರಮುಖ ತಜ್ಞರಿಗೆ ಚಂದಾದಾರರಾಗುತ್ತಾರೆ ಮತ್ತು ಪ್ರಸ್ತುತ ಘಟನೆಗಳ ಪಕ್ಕದಲ್ಲಿರಲು ನಿರ್ಬಂಧವನ್ನು ಹೊಂದಿರುತ್ತಾರೆ ಎಂದು ನಾನು ನಂಬಿದ್ದೇನೆ.
ವಾಸ್ತವವಾಗಿ, ಮೂರು ವಾರಗಳಿಗಿಂತ ಹೆಚ್ಚು ಕಾಲ, ಹಲವಾರು ಸಿಟ್ರಿಕ್ಸ್ ಗ್ರಾಹಕರು ತಯಾರಕರ ಶಿಫಾರಸುಗಳನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ನಿರ್ಲಕ್ಷಿಸಿದ್ದಾರೆ. ಮತ್ತು ಸಿಟ್ರಿಕ್ಸ್ ಕ್ಲೈಂಟ್ಗಳು ಜರ್ಮನಿಯಲ್ಲಿ ಬಹುತೇಕ ಎಲ್ಲಾ ದೊಡ್ಡ ಮತ್ತು ಮಧ್ಯಮ ಗಾತ್ರದ ಕಂಪನಿಗಳು ಮತ್ತು ಬಹುತೇಕ ಎಲ್ಲಾ ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳನ್ನು ಒಳಗೊಂಡಿವೆ. ಮೊದಲನೆಯದಾಗಿ, ದುರ್ಬಲತೆಯು ಸರ್ಕಾರಿ ರಚನೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿತು.
ಆದರೆ ಮಾಡಲು ಏನಾದರೂ ಇದೆ
ಸಿಸ್ಟಮ್ಗಳು ರಾಜಿ ಮಾಡಿಕೊಂಡಿರುವವರಿಗೆ TSL ಪ್ರಮಾಣಪತ್ರಗಳ ಬದಲಿ ಸೇರಿದಂತೆ ಸಂಪೂರ್ಣ ಮರುಸ್ಥಾಪನೆಯ ಅಗತ್ಯವಿದೆ. ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ತೊಡೆದುಹಾಕಲು ತಯಾರಕರು ಹೆಚ್ಚು ಸಕ್ರಿಯ ಕ್ರಮವನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತಾರೆ ಎಂದು ನಿರೀಕ್ಷಿಸಿದ ಸಿಟ್ರಿಕ್ಸ್ ಗ್ರಾಹಕರು ಪರ್ಯಾಯವನ್ನು ಗಂಭೀರವಾಗಿ ಹುಡುಕುತ್ತಾರೆ. ಸಿಟ್ರಿಕ್ಸ್ನ ಪ್ರತಿಕ್ರಿಯೆಯು ಪ್ರೋತ್ಸಾಹದಾಯಕವಾಗಿಲ್ಲ ಎಂದು ನಾವು ಒಪ್ಪಿಕೊಳ್ಳಬೇಕು.
ಉತ್ತರಗಳಿಗಿಂತ ಹೆಚ್ಚಿನ ಪ್ರಶ್ನೆಗಳಿವೆ
ಪ್ರಶ್ನೆ ಉದ್ಭವಿಸುತ್ತದೆ, ಸಿಟ್ರಿಕ್ಸ್, ಪ್ಲಾಟಿನಂ ಮತ್ತು ಚಿನ್ನದ ಹಲವಾರು ಪಾಲುದಾರರು ಏನು ಮಾಡುತ್ತಿದ್ದಾರೆ? 3 ರ 2020 ನೇ ವಾರದಲ್ಲಿ ಕೆಲವು ಸಿಟ್ರಿಕ್ಸ್ ಪಾಲುದಾರರ ಪುಟಗಳಲ್ಲಿ ಅಗತ್ಯ ಮಾಹಿತಿ ಏಕೆ ಕಾಣಿಸಿಕೊಂಡಿತು? ಹೆಚ್ಚು ಸಂಭಾವನೆ ಪಡೆಯುವ ಬಾಹ್ಯ ಸಲಹೆಗಾರರು ಸಹ ಈ ಅಪಾಯಕಾರಿ ಪರಿಸ್ಥಿತಿಯಲ್ಲಿ ಮಲಗಿದ್ದಾರೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿದೆ. ನಾನು ಯಾರನ್ನೂ ಅಪರಾಧ ಮಾಡಲು ಬಯಸುವುದಿಲ್ಲ, ಆದರೆ ಪಾಲುದಾರನ ಕಾರ್ಯವು ಪ್ರಾಥಮಿಕವಾಗಿ ಸಮಸ್ಯೆಗಳು ಉದ್ಭವಿಸದಂತೆ ತಡೆಯುವುದು, ಮತ್ತು ಅವುಗಳನ್ನು ತೊಡೆದುಹಾಕಲು = ಮಾರಾಟದ ಸಹಾಯವನ್ನು ನೀಡುವುದಿಲ್ಲ.
ವಾಸ್ತವವಾಗಿ, ಈ ಪರಿಸ್ಥಿತಿಯು ಐಟಿ ಭದ್ರತೆಯ ಕ್ಷೇತ್ರದಲ್ಲಿ ವ್ಯವಹಾರಗಳ ನೈಜ ಸ್ಥಿತಿಯನ್ನು ತೋರಿಸಿದೆ. ಕಂಪನಿಗಳ ಐಟಿ ವಿಭಾಗದ ಉದ್ಯೋಗಿಗಳು ಮತ್ತು ಸಿಟ್ರಿಕ್ಸ್ ಪಾಲುದಾರ ಕಂಪನಿಗಳ ಸಲಹೆಗಾರರು ಇಬ್ಬರೂ ಒಂದು ಸತ್ಯವನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಬೇಕು: ದುರ್ಬಲತೆ ಇದ್ದರೆ, ಅದನ್ನು ತೆಗೆದುಹಾಕಬೇಕು. ಸರಿ, ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು ತಕ್ಷಣವೇ ತೆಗೆದುಹಾಕಬೇಕು!
ಮೂಲ: www.habr.com