Дорогий читач, передусім хотілося б вказати те що, будучи жителем Німеччини, я передусім описую ситуацію у країні. Можливо, у вашій країні ситуація кардинально інша.
17 грудня 2019 року на сторінці Citrix Knowledge Center було опубліковано інформацію про критичну вразливість у лінійках продуктів Citrix Application Delivery Controller (NetScaler ADC) та Citrix Gateway, відомих у народі, як NetScaler Gateway. Надалі вразливість було знайдено також у лінійці SD-WAN. Вразливість торкалася всіх версій продуктів, починаючи з 10.5 і закінчуючи актуальною 13.0 і дозволяла неавторизованого зловмисника виконання шкідливого коду в системі, практично перетворюючи NetScaler на платформу для подальших атак на внутрішню мережу.
Одночасно з публікацією інформації про вразливість Citrix опублікував рекомендації щодо зниження ризику (Workaround). Повне закриття вразливості було обіцяно лише до кінця січня 2020 року.
Критичність цієї вразливості (номер CVE-2019-19781) була . згідно вразливість торкається понад 80 000 компаній по всьому світу.
Можлива реакція на новину
Будучи відповідальною людиною, я вважав, що всі IT-фахівці, які мають у своїй інфраструктурі продукти NetScaler, надійшли так:
- негайно імплементували всі вказані у статті CTX267679 рекомендації щодо мінімізації ризику.
- перевіряли ще раз налаштування Firewall, у плані дозволеного трафіку від NetScaler у бік внутрішньої мережі.
- порекомендували адміністраторам IT-безпеки звернути увагу на «незвичайні» спроби доступу до NetScaler та у разі необхідності блокувати їх. Нагадаю, NetScaler зазвичай знаходиться в DMZ.
- оцінили можливість тимчасового відключення NetScaler від мережі до отримання більш детальної інформації про проблему. Під час передріздвяних відпусток, канікул тощо це було б не так болісно. Крім того, багато фірм мають альтернативну можливість доступу через VPN.
Що ж сталося надалі?
На жаль, як з'ясується надалі, вищеописані кроки, які є стандартним підходом, більшість проігнорували.
Багато відповідальних за Citrix-інфраструктуру фахівців дізналися про вразливість лише 13.01.2020 . Дізналися тоді, коли величезну кількість підвідповідних їм систем було скомпрометовано. Абсурдність ситуації доходила до того, що необхідні для цього експлоїти цілком можна .
Я чомусь вважав, що IT-фахівці читають розсилки від виробників, довірених ним систем, можуть користуватися твіттером, підписані на провідних фахівців у своїй галузі і повинні бути в курсі життєвих подій.
Фактично протягом більш ніж трьох тижнів численні клієнти Citrix повністю ігнорували рекомендації виробника. А клієнтами Citrix є практично всі великі та середні компанії Німеччини, а також майже всі державні установи. Насамперед уразливість торкнулася саме державних структур.
Зате є чим зайнятися
Тим, чиї системи були скомпрометовані, необхідна повна переінсталяція, включаючи заміну TSL-сертифікатів. Можливо, ті клієнти Citrix, які очікували від виробника більш активних дій в усуненні критичної вразливості, всерйоз займуться пошуком альтернативи. Доводиться визнати, що реакція Citrix не вселяє оптимізму.
Запитань більше, ніж відповідей
Постає питання, а чим займалися численні партнери фірми Citrix, платинові та золоті? Чому лише на третьому тижні 3 року на сторінках деяких партнерів фірми Citrix з'явилася необхідна інформація? Очевидно, що й високооплачувані зовнішні консультанти також проспали цю небезпечну ситуацію. Не хочу нікого образити, але завдання партнера полягає в першу чергу в тому, щоб запобігати виникаючим проблемам, а не пропонувати = продавати допомогу в їх усуненні.
Фактично, ця ситуація показала реальний стан справ у галузі IT-безпеки. Як співробітникам IT-відділів компаній, так і консультантам фірм партнерів Citrix, слід усвідомити одну істину, якщо є вразливість, її необхідно усунути. Ну а критичну вразливість, потрібно усувати негайно!
Джерело: habr.com