Drogi Czytelniku, na wstępie pragnę zaznaczyć, że jako mieszkaniec Niemiec, przede wszystkim opisuję sytuację w tym kraju. Być może sytuacja w Twoim kraju jest radykalnie inna.
W dniu 17 grudnia 2019 roku na stronie Citrix Knowledge Center została opublikowana informacja o krytycznej luce w zabezpieczeniach linii produktów Citrix Application Delivery Controller (NetScaler ADC) i Citrix Gateway, popularnie znanych jako NetScaler Gateway. Później wykryto lukę także w linii SD-WAN. Luka dotyczyła wszystkich wersji produktu od 10.5 do aktualnej wersji 13.0 i umożliwiała nieuprawnionemu atakującemu wykonanie szkodliwego kodu w systemie, praktycznie zamieniając NetScaler w platformę do dalszych ataków na sieć wewnętrzną.
Równolegle z publikacją informacji o podatności, Citrix opublikował zalecenia dotyczące ograniczenia ryzyka (Obejście). Obiecano całkowite usunięcie luki dopiero do końca stycznia 2020 roku.
Poziom ważności tej luki (numer CVE-2019-19781) wynosił . Według Luka dotyczy ponad 80 000 firm na całym świecie.
Możliwa reakcja na wiadomość
Jako osoba odpowiedzialna przyjęłam, że wszyscy specjaliści IT posiadający w swojej infrastrukturze produkty NetScaler wykonali następujące czynności:
- natychmiast wdrożył wszystkie zalecenia mające na celu minimalizację ryzyka określone w artykule CTX267679.
- ponownie sprawdziłem ustawienia zapory sieciowej pod kątem dozwolonego ruchu z NetScaler do sieci wewnętrznej.
- zaleca, aby administratorzy bezpieczeństwa IT zwracali uwagę na „nietypowe” próby uzyskania dostępu do NetScaler i, jeśli to konieczne, blokowali je. Przypomnę, że NetScaler zazwyczaj znajduje się w strefie DMZ.
- ocenił możliwość tymczasowego odłączenia NetScalera od sieci do czasu uzyskania bardziej szczegółowych informacji o problemie. W okresie przedświątecznym, wakacji itp. nie byłoby to tak bolesne. Ponadto wiele firm posiada alternatywną opcję dostępu poprzez VPN.
Co stało się potem?
Niestety, jak się później okaże, powyższe kroki, które są podejściem standardowym, zostały przez większość zignorowane.
Wielu specjalistów odpowiedzialnych za infrastrukturę Citrix dowiedziało się o luce dopiero 13.01.2020 stycznia XNUMX roku . Dowiedzieli się, gdy ogromna liczba systemów, za które odpowiadali, została naruszona. Absurd sytuacji osiągnął punkt, w którym niezbędne do tego wyczyny mogły zostać całkowicie wyeliminowane .
Z jakiegoś powodu wierzyłem, że informatycy czytają mailingi od producentów, powierzone im systemy, wiedzą, jak korzystać z Twittera, subskrybują czołowych ekspertów w swojej dziedzinie i mają obowiązek być na bieżąco z bieżącymi wydarzeniami.
Tak naprawdę przez ponad trzy tygodnie liczni klienci Citrix całkowicie ignorowali zalecenia producenta. Klientami Citrix są prawie wszystkie duże i średnie firmy w Niemczech, a także prawie wszystkie agencje rządowe. Przede wszystkim luka dotknęła struktury rządowe.
Ale jest coś do zrobienia
Te, których systemy zostały naruszone, wymagają całkowitej ponownej instalacji, łącznie z wymianą certyfikatów TSL. Być może ci klienci Citrix, którzy oczekiwali od producenta bardziej aktywnych działań w celu wyeliminowania krytycznej luki, poważnie będą szukać alternatywy. Trzeba przyznać, że reakcja Citrixa nie jest zachęcająca.
Więcej pytań niż odpowiedzi
Powstaje pytanie, co robili liczni partnerzy Citrix, platynowi i złotemu? Dlaczego niezbędne informacje na stronach niektórych partnerów Citrix pojawiły się dopiero w 3 tygodniu 2020 roku? Jest oczywiste, że wysoko opłacani konsultanci zewnętrzni również przespali tę niebezpieczną sytuację. Nie chcę nikogo urazić, ale zadaniem partnera jest przede wszystkim zapobieganie powstawaniu problemów, a nie oferowanie = sprzedawanie pomocy w ich eliminacji.
Tak naprawdę sytuacja ta pokazała prawdziwy stan rzeczy w dziedzinie bezpieczeństwa IT. Zarówno pracownicy działów IT firm, jak i konsultanci firm partnerskich Citrix powinni zrozumieć jedną prawdę: jeśli jest podatność, należy ją wyeliminować. Cóż, krytyczna luka musi zostać natychmiast wyeliminowana!
Źródło: www.habr.com