ช่องโหว่ที่สำคัญของ Citrix NetScaler CVE-2019-19781 เปิดเผยปัญหาที่ซ่อนอยู่ในอุตสาหกรรมไอทีได้อย่างไร

เรียนผู้อ่าน ก่อนอื่นฉันอยากจะชี้ให้เห็นว่าในฐานะที่อาศัยอยู่ในเยอรมนี ฉันกำลังอธิบายสถานการณ์ในประเทศนี้เป็นหลัก บางทีสถานการณ์ในประเทศของคุณอาจแตกต่างไปจากเดิมอย่างสิ้นเชิง

เมื่อวันที่ 17 ธันวาคม 2019 มีการเผยแพร่ข้อมูลในหน้า Citrix Knowledge Center เกี่ยวกับช่องโหว่ที่สำคัญในกลุ่มผลิตภัณฑ์ Citrix Application Delivery Controller (NetScaler ADC) และ Citrix Gateway หรือที่รู้จักในชื่อ NetScaler Gateway ต่อมาพบช่องโหว่ในสาย SD-WAN ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ทุกเวอร์ชันตั้งแต่ 10.5 ถึง 13.0 ปัจจุบัน และอนุญาตให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถรันโค้ดที่เป็นอันตรายบนระบบ ส่งผลให้ NetScaler กลายเป็นแพลตฟอร์มสำหรับการโจมตีเครือข่ายภายในเพิ่มเติม

• CTX267027: CVE-2019-19781 - ช่องโหว่ใน Citrix Application Delivery Controller
• CTX267679: ขั้นตอนการบรรเทาผลกระทบสำหรับ CVE-2019-19781
• CTX269180: CVE-2019-19781 – เครื่องมือตรวจสอบ (เผยแพร่เมื่อ 15.01.2020/XNUMX/XNUMX!)

พร้อมกับการเผยแพร่ข้อมูลเกี่ยวกับช่องโหว่ Citrix ได้เผยแพร่คำแนะนำสำหรับการลดความเสี่ยง (วิธีแก้ปัญหา) สัญญาว่าจะปิดช่องโหว่โดยสมบูรณ์ภายในสิ้นเดือนมกราคม 2020 เท่านั้น

ระดับความรุนแรงของช่องโหว่นี้ (หมายเลข CVE-2019-19781) คือ ได้คะแนน 9.8 เต็ม 10. ตามที่ ข้อมูลจาก Positive Technologies ช่องโหว่ดังกล่าวส่งผลกระทบต่อบริษัทมากกว่า 80 แห่งทั่วโลก

ปฏิกิริยาที่อาจเกิดขึ้นต่อข่าว

ในฐานะบุคคลที่รับผิดชอบ ฉันถือว่าผู้เชี่ยวชาญด้านไอทีทุกคนที่มีผลิตภัณฑ์ NetScaler ในโครงสร้างพื้นฐานของตนทำสิ่งต่อไปนี้:

1. นำคำแนะนำทั้งหมดไปใช้ทันทีเพื่อลดความเสี่ยงที่ระบุไว้ในบทความ CTX267679
2. ตรวจสอบการตั้งค่าไฟร์วอลล์อีกครั้งในแง่ของการรับส่งข้อมูลที่อนุญาตจาก NetScaler ไปยังเครือข่ายภายใน
3. แนะนำให้ผู้ดูแลระบบความปลอดภัยด้านไอทีให้ความสนใจกับความพยายามที่ "ผิดปกติ" ในการเข้าถึง NetScaler และบล็อกพวกเขาหากจำเป็น ฉันขอเตือนคุณว่า NetScaler มักจะอยู่ใน DMZ
4. ประเมินความเป็นไปได้ในการยกเลิกการเชื่อมต่อ NetScaler จากเครือข่ายชั่วคราวจนกว่าจะได้รับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับปัญหา ในช่วงก่อนวันหยุดคริสต์มาส วันหยุดยาว ฯลฯ เหตุการณ์นี้คงไม่เจ็บปวดมากนัก นอกจากนี้ หลายบริษัทยังมีทางเลือกในการเข้าถึงผ่าน VPN

เกิดอะไรขึ้นต่อไป?

น่าเสียดายที่เนื่องจากจะชัดเจนในภายหลัง ขั้นตอนข้างต้นซึ่งเป็นแนวทางมาตรฐานจึงถูกละเลยโดยส่วนใหญ่

ผู้เชี่ยวชาญหลายคนที่รับผิดชอบโครงสร้างพื้นฐาน Citrix ได้เรียนรู้เกี่ยวกับช่องโหว่นี้เฉพาะในวันที่ 13.01.2020 มกราคม XNUMX เท่านั้น จากข่าวกลาง. พวกเขาค้นพบเมื่อระบบจำนวนมากภายใต้ความรับผิดชอบของพวกเขาถูกโจมตี ความไร้สาระของสถานการณ์มาถึงจุดที่การหาประโยชน์ที่จำเป็นสำหรับสิ่งนี้อาจสมบูรณ์ได้ ดาวน์โหลดบนอินเทอร์เน็ตอย่างถูกกฎหมาย.
ด้วยเหตุผลบางอย่าง ฉันเชื่อว่าผู้เชี่ยวชาญด้านไอทีอ่านจดหมายจากผู้ผลิต ระบบที่ได้รับความไว้วางใจ รู้วิธีใช้ Twitter สมัครรับข้อมูลจากผู้เชี่ยวชาญชั้นนำในสาขาของตน และมีหน้าที่ต้องติดตามเหตุการณ์ปัจจุบัน

ในความเป็นจริง เป็นเวลากว่าสามสัปดาห์ที่ลูกค้า Citrix จำนวนมากเพิกเฉยต่อคำแนะนำของผู้ผลิตโดยสิ้นเชิง และลูกค้าของ Citrix ยังรวมถึงบริษัทขนาดใหญ่และขนาดกลางเกือบทั้งหมดในเยอรมนี เช่นเดียวกับหน่วยงานภาครัฐเกือบทั้งหมด ประการแรก ความเปราะบางดังกล่าวส่งผลกระทบต่อโครงสร้างของรัฐบาล

แต่มีบางอย่างที่ต้องทำ

ผู้ที่ระบบถูกบุกรุกจำเป็นต้องติดตั้งใหม่ทั้งหมด รวมถึงการเปลี่ยนใบรับรอง TSL บางทีลูกค้า Citrix ที่คาดหวังให้ผู้ผลิตดำเนินการเชิงรุกมากขึ้นเพื่อขจัดช่องโหว่ที่สำคัญอาจมองหาทางเลือกอื่นอย่างจริงจัง เราต้องยอมรับว่าการตอบสนองของ Citrix นั้นไม่สนับสนุน

มีคำถามมากกว่าคำตอบ

คำถามเกิดขึ้นว่าพันธมิตรจำนวนมากของ Citrix, แพลทินัม และทองคำ กำลังทำอะไรอยู่ เหตุใดข้อมูลที่จำเป็นจึงปรากฏบนหน้าของพันธมิตร Citrix บางรายเฉพาะในสัปดาห์ที่ 3 ของปี 2020 เท่านั้น เห็นได้ชัดว่าที่ปรึกษาภายนอกที่ได้รับค่าตอบแทนสูงก็นอนหลับผ่านสถานการณ์อันตรายนี้เช่นกัน ฉันไม่ต้องการรุกรานใคร แต่งานของพันธมิตรคือการป้องกันปัญหาไม่ให้เกิดขึ้นเป็นหลัก และไม่เสนอ = ขายความช่วยเหลือในการกำจัดปัญหาเหล่านั้น

ในความเป็นจริง สถานการณ์นี้แสดงให้เห็นถึงสถานการณ์ที่แท้จริงในด้านความปลอดภัยด้านไอที ทั้งพนักงานของแผนกไอทีของบริษัทและที่ปรึกษาของบริษัทพันธมิตร Citrix ควรเข้าใจความจริงข้อหนึ่ง: หากมีช่องโหว่ จะต้องกำจัดออกไป ช่องโหว่ที่สำคัญจะต้องถูกกำจัดทันที!

ที่มา: will.com