Değerli okurum, öncelikle şunu belirtmek isterim ki, Almanya'da ikamet eden biri olarak öncelikle bu ülkedeki durumu anlatıyorum. Belki ülkenizdeki durum kökten farklıdır.
17 Aralık 2019'da Citrix Bilgi Merkezi sayfasında, Citrix Application Delivery Controller (NetScaler ADC) ve Citrix Gateway ürün gruplarında (halk arasında NetScaler Gateway olarak bilinen) kritik bir güvenlik açığı hakkında bilgi yayınlandı. Daha sonra SD-WAN hattında da güvenlik açığı bulundu. Güvenlik açığı, 10.5'ten mevcut 13.0'a kadar tüm ürün sürümlerini etkiledi ve yetkisiz bir saldırganın sistemde kötü amaçlı kod çalıştırmasına izin vererek NetScaler'ı pratik olarak iç ağa daha fazla saldırı için bir platforma dönüştürdü.
Güvenlik açığıyla ilgili bilgilerin yayınlanmasıyla eşzamanlı olarak Citrix, riski azaltmaya yönelik öneriler (Geçici Çözüm) yayınladı. Güvenlik açığının tamamen kapatılmasına ancak Ocak 2020'nin sonuna kadar söz verildi.
Bu güvenlik açığının ciddiyeti (sayı CVE-2019-19781) . Göre Güvenlik açığı dünya çapında 80'den fazla şirketi etkiliyor.
Habere olası tepki
Sorumlu bir kişi olarak altyapılarında NetScaler ürünleri bulunan tüm BT profesyonellerinin şunları yaptığını varsaydım:
- CTX267679 makalesinde belirtilen riski en aza indirmek için tüm önerileri derhal uyguladık.
- NetScaler'dan dahili ağa doğru izin verilen trafik açısından Güvenlik Duvarı ayarlarını yeniden kontrol etti.
- BT güvenlik yöneticilerinin NetScaler'a yönelik "olağandışı" erişim girişimlerine dikkat etmeleri ve gerekirse bunları engellemeleri önerilir. NetScaler'ın genellikle DMZ'de bulunduğunu hatırlatayım.
- sorun hakkında daha detaylı bilgi elde edilene kadar NetScaler'ın ağ bağlantısının geçici olarak kesilmesi olasılığını değerlendirdi. Noel öncesi tatillerde, tatillerde vb. Bu o kadar acı verici olmazdı. Ayrıca birçok firmanın VPN üzerinden alternatif erişim seçeneği bulunmaktadır.
Sonra ne oldu?
Ne yazık ki, daha sonra netleşeceği üzere, standart yaklaşım olan yukarıdaki adımlar çoğu kişi tarafından göz ardı edilmiştir.
Citrix altyapısından sorumlu birçok uzman, güvenlik açığından ancak 13.01.2020 Ocak XNUMX'de haberdar oldu . Sorumlulukları altındaki çok sayıda sistemin güvenliğinin ihlal edildiğini öğrendiler. Durumun absürtlüğü öyle bir noktaya ulaştı ki, bunun için gerekli olan istismarlar tamamen .
Nedense BT uzmanlarının üreticilerden gelen mailleri, kendilerine emanet edilen sistemleri okuduğunu, Twitter kullanmayı bildiğini, alanında önde gelen uzmanlara abone olduğunu ve güncel gelişmeleri takip etmek zorunda olduğuna inanıyordum.
Aslında üç haftadan fazla bir süre boyunca çok sayıda Citrix müşterisi üreticinin tavsiyelerini tamamen görmezden geldi. Citrix'in müşterileri arasında Almanya'daki neredeyse tüm büyük ve orta ölçekli şirketlerin yanı sıra neredeyse tüm devlet kurumları da yer alıyor. Her şeyden önce güvenlik açığı hükümet yapılarını etkiledi.
Ama yapılacak bir şey var
Sistemleri tehlikeye girenlerin, TSL sertifikalarının değiştirilmesi de dahil olmak üzere tam bir yeniden kuruluma ihtiyaçları vardır. Belki de üreticinin kritik güvenlik açığını ortadan kaldırmak için daha aktif aksiyon almasını bekleyen Citrix müşterileri ciddi bir şekilde alternatif arayacaktır. Citrix'in cevabının cesaret verici olmadığını kabul etmeliyiz.
Cevaplardan daha fazla soru.
Şu soru ortaya çıkıyor: Citrix'in platin ve altının sayısız ortağı ne yapıyordu? Gerekli bilgiler neden bazı Citrix ortaklarının sayfalarında yalnızca 3'nin 2020. haftasında göründü? Yüksek maaşlı dış danışmanların da bu tehlikeli durum karşısında uyudukları açıktır. Kimseyi gücendirmek istemiyorum, ancak bir ortağın görevi öncelikle sorunların ortaya çıkmasını önlemektir ve bunları ortadan kaldırmak için yardım teklif etmek = satmak değildir.
Aslında bu durum bilişim güvenliği alanındaki gerçek durumu gösteriyordu. Hem şirketlerin BT departmanlarının çalışanları hem de Citrix ortak şirketlerinin danışmanları bir gerçeği anlamalıdır: Bir güvenlik açığı varsa bunun ortadan kaldırılması gerekir. Kritik bir güvenlik açığının derhal ortadan kaldırılması gerekiyor!
Kaynak: habr.com