Beste lezer, allereerst wil ik erop wijzen dat ik als inwoner van Duitsland vooral de situatie in dit land beschrijf. Misschien is de situatie in uw land radicaal anders.
Op 17 december 2019 werd op de Citrix Knowledge Center-pagina informatie gepubliceerd over een kritieke kwetsbaarheid in de productlijnen Citrix Application Delivery Controller (NetScaler ADC) en Citrix Gateway, in de volksmond bekend als NetScaler Gateway. Later werd ook een kwetsbaarheid gevonden in de SD-WAN-lijn. De kwetsbaarheid trof alle productversies van 10.5 tot de huidige 13.0 en stelde een ongeautoriseerde aanvaller in staat kwaadaardige code op het systeem uit te voeren, waardoor NetScaler praktisch een platform werd voor verdere aanvallen op het interne netwerk.
Gelijktijdig met de publicatie van informatie over de kwetsbaarheid publiceerde Citrix aanbevelingen om het risico te verminderen (Workaround). Volledige sluiting van de kwetsbaarheid werd pas eind januari 2020 beloofd.
De ernst van deze kwetsbaarheid (nummer CVE-2019-19781) was . Volgens De kwetsbaarheid treft wereldwijd meer dan 80 bedrijven.
Mogelijke reactie op het nieuws
Als verantwoordelijke persoon ging ik ervan uit dat alle IT-professionals met NetScaler-producten in hun infrastructuur het volgende deden:
- onmiddellijk alle aanbevelingen geïmplementeerd voor het minimaliseren van het risico gespecificeerd in artikel CTX267679.
- heb de Firewall-instellingen opnieuw gecontroleerd in termen van toegestaan verkeer van NetScaler naar het interne netwerk.
- raadde IT-beveiligingsbeheerders aan aandacht te besteden aan “ongebruikelijke” pogingen om toegang te krijgen tot NetScaler en deze, indien nodig, te blokkeren. Ik wil u eraan herinneren dat NetScaler zich meestal in de DMZ bevindt.
- evalueerde de mogelijkheid om NetScaler tijdelijk van het netwerk te ontkoppelen totdat meer gedetailleerde informatie over het probleem is verkregen. Tijdens de kerstvakantie, vakanties, enz. zou dit niet zo pijnlijk zijn. Daarnaast hebben veel bedrijven een alternatieve toegangsmogelijkheid via VPN.
Wat er daarna gebeurde?
Helaas, zoals later duidelijk zal worden, werden de bovenstaande stappen, die de standaardaanpak vormen, door de meesten genegeerd.
Veel specialisten die verantwoordelijk zijn voor de Citrix-infrastructuur hoorden pas op 13.01.2020 januari XNUMX over de kwetsbaarheid . Ze kwamen erachter toen een groot aantal systemen onder hun verantwoordelijkheid gecompromitteerd was. De absurditeit van de situatie bereikte het punt waarop de hiervoor noodzakelijke exploits volledig konden worden uitgevoerd .
Om de een of andere reden geloofde ik dat IT-specialisten mailings lezen van fabrikanten, aan hen toevertrouwde systemen, weten hoe ze Twitter moeten gebruiken, zich abonneren op toonaangevende experts in hun vakgebied en verplicht zijn op de hoogte te blijven van de actualiteit.
Sterker nog, ruim drie weken lang negeerden talloze Citrix-klanten de aanbevelingen van de fabrikant volledig. En tot de klanten van Citrix behoren vrijwel alle grote en middelgrote bedrijven in Duitsland, evenals vrijwel alle overheidsinstanties. In de eerste plaats had de kwetsbaarheid gevolgen voor de overheidsstructuren.
Maar er is iets te doen
Degenen van wie de systemen zijn gecompromitteerd, hebben een volledige herinstallatie nodig, inclusief vervanging van TSL-certificaten. Misschien zullen de Citrix-klanten die verwachtten dat de fabrikant actievere actie zou ondernemen bij het elimineren van de kritieke kwetsbaarheid serieus op zoek gaan naar een alternatief. We moeten toegeven dat de reactie van Citrix niet bemoedigend is.
Meer vragen dan antwoorden
De vraag rijst: wat waren de talrijke partners van Citrix, platina en goud, aan het doen? Waarom verscheen de benodigde informatie pas in de derde week van 3 op de pagina's van sommige Citrix-partners? Het is duidelijk dat ook goedbetaalde externe consultants deze gevaarlijke situatie hebben doorstaan. Ik wil niemand beledigen, maar de taak van een partner is in de eerste plaats om te voorkomen dat er problemen ontstaan, en niet om hulp aan te bieden = te verkopen bij het elimineren ervan.
In feite liet deze situatie de werkelijke stand van zaken op het gebied van IT-beveiliging zien. Zowel medewerkers van IT-afdelingen van bedrijven als consultants van Citrix-partnerbedrijven moeten één waarheid begrijpen: als er een kwetsbaarheid is, moet deze worden geëlimineerd. Welnu, een kritieke kwetsbaarheid moet onmiddellijk worden geëlimineerd!
Bron: www.habr.com