Hurmatli o'quvchi, birinchi navbatda shuni ta'kidlashni istardimki, men Germaniya rezidenti sifatida birinchi navbatda ushbu mamlakatdagi vaziyatni tasvirlayapman. Ehtimol, mamlakatingizdagi vaziyat tubdan boshqachadir.
17-yil 2019-dekabrda Citrix Knowledge Center sahifasida Citrix Application Delivery Controller (NetScaler ADC) va NetScaler Gateway nomi bilan mashhur boʻlgan Citrix Gateway mahsulot qatoridagi muhim zaiflik haqida maʼlumot eʼlon qilindi. Keyinchalik SD-WAN liniyasida ham zaiflik topildi. Zaiflik 10.5 dan joriy 13.0 gacha bo'lgan barcha mahsulot versiyalariga ta'sir qildi va ruxsatsiz tajovuzkorga tizimda zararli kodni amalga oshirishga imkon berdi va NetScalerni amalda ichki tarmoqqa keyingi hujumlar uchun platformaga aylantirdi.
Zaiflik haqidagi ma'lumotni nashr etish bilan bir vaqtda Citrix xavfni kamaytirish bo'yicha tavsiyalarni e'lon qildi (Workaround). Zaiflikni to'liq yopish faqat 2020 yil yanvar oyining oxiriga qadar va'da qilingan.
Ushbu zaiflikning jiddiyligi (CVE-2019-19781 raqami) . Ko'ra Zaiflik butun dunyo bo'ylab 80 000 dan ortiq kompaniyalarga ta'sir qiladi.
Yangilikka mumkin bo'lgan reaktsiya
Mas'uliyatli shaxs sifatida men o'z infratuzilmasida NetScaler mahsulotlariga ega bo'lgan barcha IT-mutaxassislari quyidagilarni qilgan deb taxmin qildim:
- CTX267679-moddasida ko'rsatilgan xavfni minimallashtirish bo'yicha barcha tavsiyalarni darhol amalga oshirdi.
- NetScaler'dan ichki tarmoqqa ruxsat etilgan trafik nuqtai nazaridan xavfsizlik devori sozlamalarini qayta tekshirdi.
- AT xavfsizligi ma'murlariga NetScaler-ga kirishga "noodatiy" urinishlarga e'tibor berishni va kerak bo'lganda ularni bloklashni tavsiya qildi. Eslatib o'taman, NetScaler odatda DMZda joylashgan.
- muammo haqida batafsil ma'lumot olinmaguncha NetScalerni tarmoqdan vaqtincha uzib qo'yish imkoniyatini baholadi. Rojdestvo oldidan bayramlar, ta'tillar va hokazolarda bu juda og'riqli bo'lmaydi. Bundan tashqari, ko'plab kompaniyalar VPN orqali muqobil kirish imkoniyatiga ega.
Keyin nima bo'ldi?
Afsuski, keyinroq ma'lum bo'lishicha, standart yondashuv bo'lgan yuqoridagi qadamlar ko'pchilik tomonidan e'tiborga olinmagan.
Citrix infratuzilmasi uchun mas'ul bo'lgan ko'plab mutaxassislar zaiflik haqida faqat 13.01.2020 yil XNUMX yanvarda bilib oldilar. . Ular o'zlarining mas'uliyati ostidagi juda ko'p tizimlar buzilganligini aniqladilar. Vaziyatning bema'niligi shu darajaga yetdiki, buning uchun zarur bo'lgan ekspluatatsiyalar butunlay bo'lishi mumkin edi .
Negadir men IT-mutaxassislari ishlab chiqaruvchilarning pochta xabarlarini, ularga ishonib topshirilgan tizimlarni o'qiydilar, Twitter-dan qanday foydalanishni biladilar, o'z sohasidagi etakchi mutaxassislarga obuna bo'lishadi va dolzarb voqealardan xabardor bo'lishlari shart deb ishonardim.
Aslida, uch haftadan ko'proq vaqt davomida ko'plab Citrix mijozlari ishlab chiqaruvchining tavsiyalarini butunlay e'tiborsiz qoldirdilar. Va Citrix mijozlari Germaniyadagi deyarli barcha yirik va o'rta kompaniyalarni, shuningdek, deyarli barcha davlat idoralarini o'z ichiga oladi. Avvalo, zaiflik hukumat tuzilmalariga ta'sir qildi.
Lekin qiladigan narsa bor
Tizimlari buzilganlar to'liq qayta o'rnatishga, jumladan TSL sertifikatlarini almashtirishga muhtoj. Ehtimol, ishlab chiqaruvchidan muhim zaiflikni bartaraf etishda faolroq harakat qilishini kutgan Citrix mijozlari jiddiy muqobil izlaydilar. Citrixning javobi dalda beruvchi emasligini tan olishimiz kerak.
Javoblardan ko'ra ko'proq savollar mavjud
Savol tug'iladi, Citrixning ko'plab sheriklari, platina va oltin nima qilishgan? Nega kerakli ma'lumotlar ba'zi Citrix hamkorlarining sahifalarida faqat 3 yilning 2020-haftasida paydo bo'ldi? Ko'rinib turibdiki, yuqori haq to'lanadigan tashqi maslahatchilar ham bu xavfli vaziyatni boshdan kechirishgan. Men hech kimni xafa qilishni xohlamayman, lekin sherikning vazifasi, birinchi navbatda, muammolar paydo bo'lishining oldini olish va ularni yo'q qilishda yordam taklif qilish = sotish emas.
Aslida, bu holat IT xavfsizligi sohasidagi ishlarning haqiqiy holatini ko'rsatdi. Kompaniyalarning IT bo'limlari xodimlari ham, Citrix hamkor kompaniyalarining maslahatchilari ham bir haqiqatni tushunishlari kerak: agar zaiflik mavjud bo'lsa, uni yo'q qilish kerak. Xo'sh, tanqidiy zaiflikni darhol yo'q qilish kerak!
Manba: www.habr.com