Kjære leser, først og fremst vil jeg påpeke at jeg som bosatt i Tyskland først og fremst beskriver situasjonen i dette landet. Kanskje situasjonen i ditt land er radikalt annerledes.
17. desember 2019 ble informasjon publisert på Citrix Knowledge Center-siden om en kritisk sårbarhet i produktlinjene Citrix Application Delivery Controller (NetScaler ADC) og Citrix Gateway, populært kjent som NetScaler Gateway. Senere ble det også funnet en sårbarhet i SD-WAN-linjen. Sårbarheten påvirket alle produktversjoner fra 10.5 til gjeldende 13.0 og tillot en uautorisert angriper å kjøre ondsinnet kode på systemet, noe som praktisk talt gjorde NetScaler til en plattform for ytterligere angrep på det interne nettverket.
Samtidig med publisering av informasjon om sårbarheten publiserte Citrix anbefalinger for å redusere risikoen (Workaround). Fullstendig lukking av sårbarheten ble lovet først innen utgangen av januar 2020.
Alvorlighetsgraden av dette sikkerhetsproblemet (nummer CVE-2019-19781) var . I følge Sårbarheten påvirker mer enn 80 000 selskaper over hele verden.
Mulig reaksjon på nyhetene
Som ansvarlig person antok jeg at alle IT-fagfolk med NetScaler-produkter i infrastrukturen gjorde følgende:
- implementerte umiddelbart alle anbefalinger for å minimere risikoen spesifisert i artikkel CTX267679.
- sjekket brannmurinnstillingene på nytt når det gjelder tillatt trafikk fra NetScaler mot det interne nettverket.
- anbefalt at IT-sikkerhetsadministratorer tar hensyn til "uvanlige" forsøk på å få tilgang til NetScaler og, om nødvendig, blokkerer dem. La meg minne deg på at NetScaler vanligvis er plassert i DMZ.
- evaluerte muligheten for midlertidig å koble NetScaler fra nettverket inntil mer detaljert informasjon om problemet er innhentet. I førjulsferien, ferier osv. ville ikke dette vært så vondt. I tillegg har mange bedrifter en alternativ tilgangsmulighet via VPN.
Hva skjedde etterpå?
Dessverre, som det vil bli klart senere, ble trinnene ovenfor, som er standardmetoden, ignorert av de fleste.
Mange spesialister med ansvar for Citrix-infrastrukturen fikk vite om sårbarheten først 13.01.2020. januar XNUMX . De fant ut da et stort antall systemer under deres ansvar ble kompromittert. Det absurde i situasjonen nådde det punktet at de utnyttelsene som var nødvendige for dette kunne være fullstendig .
Av en eller annen grunn trodde jeg at IT-spesialister leser utsendelser fra produsenter, systemer som er betrodd dem, vet hvordan de bruker Twitter, abonnerer på ledende eksperter på sitt felt og er forpliktet til å holde seg oppdatert på aktuelle hendelser.
Faktisk, i mer enn tre uker, ignorerte mange Citrix-kunder produsentens anbefalinger. Og Citrix-kunder inkluderer nesten alle store og mellomstore bedrifter i Tyskland, samt nesten alle offentlige etater. Først og fremst påvirket sårbarheten regjeringsstrukturer.
Men det er noe å gjøre
De hvis systemer har blitt kompromittert, trenger en fullstendig reinstallasjon, inkludert erstatning av TSL-sertifikater. Kanskje de Citrix-kundene som forventet at produsenten skulle ta mer aktiv handling for å eliminere den kritiske sårbarheten, seriøst vil se etter et alternativ. Vi må innrømme at svaret til Citrix ikke er oppmuntrende.
Det er flere spørsmål enn svar
Spørsmålet oppstår, hva gjorde de mange partnerne til Citrix, platina og gull? Hvorfor dukket den nødvendige informasjonen opp på sidene til noen Citrix-partnere først i den tredje uken av 3? Det er åpenbart at høyt betalte eksterne konsulenter også sov gjennom denne farlige situasjonen. Jeg ønsker ikke å fornærme noen, men en partners oppgave er først og fremst å forhindre at problemer oppstår, og ikke å tilby = selge hjelp til å eliminere dem.
Faktisk viste denne situasjonen den virkelige tilstanden innen IT-sikkerhet. Både ansatte i IT-avdelinger i selskaper og konsulenter i Citrix-partnerselskaper bør forstå én sannhet: hvis det er en sårbarhet, må den elimineres. Vel, en kritisk sårbarhet må elimineres umiddelbart!
Kilde: www.habr.com