เรียนผู้อ่าน ก่อนอื่นฉันอยากจะชี้ให้เห็นว่าในฐานะที่อาศัยอยู่ในเยอรมนี ฉันกำลังอธิบายสถานการณ์ในประเทศนี้เป็นหลัก บางทีสถานการณ์ในประเทศของคุณอาจแตกต่างไปจากเดิมอย่างสิ้นเชิง
เมื่อวันที่ 17 ธันวาคม 2019 มีการเผยแพร่ข้อมูลในหน้า Citrix Knowledge Center เกี่ยวกับช่องโหว่ที่สำคัญในกลุ่มผลิตภัณฑ์ Citrix Application Delivery Controller (NetScaler ADC) และ Citrix Gateway หรือที่รู้จักในชื่อ NetScaler Gateway
CTX267027: CVE-2019-19781 - ช่องโหว่ใน Citrix Application Delivery Controller CTX267679: ขั้นตอนการบรรเทาผลกระทบสำหรับ CVE-2019-19781 CTX269180: CVE-2019-19781 – เครื่องมือตรวจสอบ (เผยแพร่เมื่อ 15.01.2020/XNUMX/XNUMX!)
พร้อมกับการเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ Citrix ได้เผยแพร่คำแนะนำสำหรับการลดความเสี่ยง (วิธีแก้ปัญหา) สัญญาว่าจะปิดช่องโหว่โดยสมบูรณ์ภายในสิ้นเดือนมกราคม 2020 เท่านั้น
ระดับความรุนแรงของช่องโหว่นี้ (หมายเลข CVE-2019-19781) คือ
ปฏิกิริยาที่อาจเกิดขึ้นต่อข่าว
ในฐานะบุคคลที่รับผิดชอบ ฉันถือว่าผู้เชี่ยวชาญด้านไอทีทุกคนที่มีผลิตภัณฑ์ NetScaler ในโครงสร้างพื้นฐานของตนทำสิ่งต่อไปนี้:
- นำคำแนะนำทั้งหมดไปใช้ทันทีเพื่อลดความเสี่ยงที่ระบุไว้ในบทความ CTX267679
- ตรวจสอบการตั้งค่าไฟร์วอลล์อีกครั้งในแง่ของการรับส่งข้อมูลที่อนุญาตจาก NetScaler ไปยังเครือข่ายภายใน
- แนะนำให้ผู้ดูแลระบบความปลอดภัยด้านไอทีให้ความสนใจกับความพยายามที่ "ผิดปกติ" ในการเข้าถึง NetScaler และบล็อกพวกเขาหากจำเป็น ฉันขอเตือนคุณว่า NetScaler มักจะอยู่ใน DMZ
- ประเมินความเป็นไปได้ในการยกเลิกการเชื่อมต่อ NetScaler จากเครือข่ายชั่วคราวจนกว่าจะได้รับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับปัญหา ในช่วงก่อนวันหยุดคริสต์มาส วันหยุดยาว ฯลฯ เหตุการณ์นี้คงไม่เจ็บปวดมากนัก นอกจากนี้ หลายบริษัทยังมีทางเลือกในการเข้าถึงผ่าน VPN
เกิดอะไรขึ้นต่อไป?
น่าเสียดายที่เนื่องจากจะชัดเจนในภายหลัง ขั้นตอนข้างต้นซึ่งเป็นแนวทางมาตรฐานจึงถูกละเลยโดยส่วนใหญ่
ผู้เชี่ยวชาญหลายคนที่รับผิดชอบโครงสร้างพื้นฐาน Citrix ได้เรียนรู้เกี่ยวกับช่องโหว่นี้เฉพาะในวันที่ 13.01.2020 มกราคม XNUMX เท่านั้น
ด้วยเหตุผลบางอย่าง ฉันเชื่อว่าผู้เชี่ยวชาญด้านไอทีอ่านจดหมายจากผู้ผลิต ระบบที่ได้รับความไว้วางใจ รู้วิธีใช้ Twitter สมัครรับข้อมูลจากผู้เชี่ยวชาญชั้นนำในสาขาของตน และมีหน้าที่ต้องติดตามเหตุการณ์ปัจจุบัน
ในความเป็นจริง เป็นเวลากว่าสามสัปดาห์ที่ลูกค้า Citrix จำนวนมากเพิกเฉยต่อคำแนะนำของผู้ผลิตโดยสิ้นเชิง และลูกค้าของ Citrix ยังรวมถึงบริษัทขนาดใหญ่และขนาดกลางเกือบทั้งหมดในเยอรมนี เช่นเดียวกับหน่วยงานภาครัฐเกือบทั้งหมด ประการแรก ความเปราะบางดังกล่าวส่งผลกระทบต่อโครงสร้างของรัฐบาล
แต่มีบางอย่างที่ต้องทำ
ผู้ที่ระบบถูกบุกรุกจำเป็นต้องติดตั้งใหม่ทั้งหมด รวมถึงการเปลี่ยนใบรับรอง TSL บางทีลูกค้า Citrix ที่คาดหวังให้ผู้ผลิตดำเนินการเชิงรุกมากขึ้นเพื่อขจัดช่องโหว่ที่สำคัญอาจมองหาทางเลือกอื่นอย่างจริงจัง เราต้องยอมรับว่าการตอบสนองของ Citrix นั้นไม่สนับสนุน
มีคำถามมากกว่าคำตอบ
คำถามเกิดขึ้นว่าพันธมิตรจำนวนมากของ Citrix, แพลทินัม และทองคำ กำลังทำอะไรอยู่ เหตุใดข้อมูลที่จำเป็นจึงปรากฏบนหน้าของพันธมิตร Citrix บางรายเฉพาะในสัปดาห์ที่ 3 ของปี 2020 เท่านั้น เห็นได้ชัดว่าที่ปรึกษาภายนอกที่ได้รับค่าตอบแทนสูงก็นอนหลับผ่านสถานการณ์อันตรายนี้เช่นกัน ฉันไม่ต้องการรุกรานใคร แต่งานของพันธมิตรคือการป้องกันปัญหาไม่ให้เกิดขึ้นเป็นหลัก และไม่เสนอ = ขายความช่วยเหลือในการกำจัดปัญหาเหล่านั้น
ในความเป็นจริง สถานการณ์นี้แสดงให้เห็นถึงสถานการณ์ที่แท้จริงในด้านความปลอดภัยด้านไอที ทั้งพนักงานของแผนกไอทีของบริษัทและที่ปรึกษาของบริษัทพันธมิตร Citrix ควรเข้าใจความจริงข้อหนึ่ง: หากมีช่องโหว่ จะต้องกำจัดออกไป ช่องโหว่ที่สำคัญจะต้องถูกกำจัดทันที!
ที่มา: will.com