Cienījamais lasītāj, vispirms es vēlos norādīt, ka es kā Vācijas iedzīvotājs galvenokārt raksturoju situāciju šajā valstī. Iespējams, situācija jūsu valstī ir radikāli atšķirīga.
17. gada 2019. decembrī Citrix zināšanu centra lapā tika publicēta informācija par kritisku ievainojamību Citrix Application Delivery Controller (NetScaler ADC) un Citrix Gateway produktu līnijās, ko tautā dēvē par NetScaler Gateway. Vēlāk ievainojamība tika atrasta arī SD-WAN līnijā. Ievainojamība skāra visas produktu versijas no 10.5 līdz pašreizējai versijai 13.0 un ļāva nesankcionētam uzbrucējam sistēmā izpildīt ļaunprātīgu kodu, praktiski pārvēršot NetScaler par platformu turpmākiem uzbrukumiem iekšējam tīklam.
Vienlaikus ar informācijas publicēšanu par ievainojamību, Citrix publicēja ieteikumus riska samazināšanai (Workaround). Pilnīga ievainojamības slēgšana tika solīta tikai līdz 2020. gada janvāra beigām.
Šīs ievainojamības nopietnība (numurs CVE-2019-19781) bija . Saskaņā ar Ievainojamība skar vairāk nekā 80 000 uzņēmumu visā pasaulē.
Iespējama reakcija uz jaunumiem
Kā atbildīgā persona es pieņēmu, ka visi IT speciālisti, kuru infrastruktūrā ir NetScaler produkti, rīkojās šādi:
- nekavējoties ieviesa visus rakstā CTX267679 norādītos ieteikumus riska samazināšanai.
- atkārtoti pārbaudīja ugunsmūra iestatījumus attiecībā uz atļauto trafiku no NetScaler uz iekšējo tīklu.
- ieteica IT drošības administratoriem pievērst uzmanību “neparastiem” mēģinājumiem piekļūt NetScaler un, ja nepieciešams, tos bloķēt. Atgādināšu, ka NetScaler parasti atrodas DMZ.
- izvērtēja iespēju uz laiku atvienot NetScaler no tīkla, līdz tiks iegūta sīkāka informācija par problēmu. Pirmssvētku brīvdienās, brīvdienās utt., tas nebūtu tik sāpīgi. Turklāt daudziem uzņēmumiem ir alternatīva piekļuves iespēja, izmantojot VPN.
Kas notika tālāk?
Diemžēl, kā kļūs skaidrs vēlāk, iepriekš minētās darbības, kas ir standarta pieeja, lielākā daļa ignorēja.
Daudzi par Citrix infrastruktūru atbildīgie speciālisti par ievainojamību uzzināja tikai 13.01.2020. gada XNUMX. janvārī . Viņi uzzināja, kad tika apdraudēts liels skaits viņu pārziņā esošo sistēmu. Situācijas absurdums sasniedza tādu līmeni, ka tam nepieciešamie varoņdarbi varētu būt pilnībā .
Nez kāpēc uzskatīju, ka IT speciālisti lasa ražotāju sūtījumus, viņiem uzticētās sistēmas, prot lietot Twitter, abonē savas jomas vadošos ekspertus un viņiem ir pienākums sekot līdzi aktualitātēm.
Faktiski vairāk nekā trīs nedēļas daudzi Citrix klienti pilnībā ignorēja ražotāja ieteikumus. Un Citrix klientu vidū ir gandrīz visi lielie un vidējie uzņēmumi Vācijā, kā arī gandrīz visas valsts aģentūras. Pirmkārt, ievainojamība skāra valdības struktūras.
Bet ir ko darīt
Tiem, kuru sistēmas ir apdraudētas, ir nepieciešama pilnīga atkārtota instalēšana, tostarp TSL sertifikātu nomaiņa. Iespējams, tie Citrix klienti, kuri gaidīja, ka ražotājs rīkosies aktīvāk kritiskās ievainojamības novēršanai, nopietni meklēs alternatīvu. Jāatzīst, ka Citrix reakcija nav iepriecinoša.
Jautājumu ir vairāk nekā atbilžu
Rodas jautājums, ko darīja daudzie Citrix partneri, platīns un zelts? Kāpēc vajadzīgā informācija dažu Citrix partneru lapās parādījās tikai 3. gada 2020. nedēļā? Acīmredzot šo bīstamo situāciju izgulēja arī augsti atalgoti ārējie konsultanti. Negribu nevienu aizvainot, bet partnera uzdevums primāri ir nepieļaut problēmu rašanos, nevis piedāvāt = pārdot palīdzību to novēršanā.
Faktiski šī situācija parādīja patieso situāciju IT drošības jomā. Gan uzņēmumu IT nodaļu darbiniekiem, gan Citrix partneruzņēmumu konsultantiem jāsaprot viena patiesība: ja ir ievainojamība, tā ir jānovērš. Nu, kritiska ievainojamība ir nekavējoties jānovērš!
Avots: www.habr.com