Bạn đọc thân mến, trước hết tôi muốn chỉ ra rằng với tư cách là một cư dân của Đức, tôi chủ yếu mô tả tình hình ở đất nước này. Có lẽ tình hình ở nước bạn hoàn toàn khác.
Vào ngày 17 tháng 2019 năm XNUMX, thông tin đã được công bố trên trang Trung tâm Kiến thức Citrix về một lỗ hổng nghiêm trọng trong Bộ điều khiển Phân phối Ứng dụng Citrix (NetScaler ADC) và các dòng sản phẩm Citrix Gateway, thường được gọi là NetScaler Gateway. Sau đó, một lỗ hổng cũng được tìm thấy trên đường SD-WAN. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản sản phẩm từ 10.5 đến 13.0 hiện tại và cho phép kẻ tấn công trái phép thực thi mã độc trên hệ thống, thực tế biến NetScaler thành nền tảng cho các cuộc tấn công tiếp theo vào mạng nội bộ.
Đồng thời với việc công bố thông tin về lỗ hổng, Citrix công bố các khuyến nghị nhằm giảm thiểu rủi ro (Giải pháp thay thế). Việc đóng hoàn toàn lỗ hổng bảo mật chỉ được hứa hẹn vào cuối tháng 2020 năm XNUMX.
Mức độ nghiêm trọng của lỗ hổng này (số CVE-2019-19781) là . Theo Lỗ hổng này ảnh hưởng đến hơn 80 công ty trên toàn thế giới.
Phản ứng có thể xảy ra với tin tức
Là một người có trách nhiệm, tôi cho rằng tất cả các chuyên gia CNTT có sản phẩm NetScaler trong cơ sở hạ tầng của họ đã làm như sau:
- ngay lập tức thực hiện mọi khuyến nghị nhằm giảm thiểu rủi ro quy định tại điều CTX267679.
- đã kiểm tra lại cài đặt Tường lửa về lưu lượng được phép từ NetScaler tới mạng nội bộ.
- khuyến nghị các quản trị viên bảo mật CNTT nên chú ý đến những nỗ lực truy cập NetScaler “bất thường” và nếu cần, hãy chặn chúng. Hãy để tôi nhắc bạn rằng NetScaler thường nằm trong DMZ.
- đã đánh giá khả năng tạm thời ngắt kết nối NetScaler khỏi mạng cho đến khi có thêm thông tin chi tiết về sự cố. Trong những ngày lễ, kỳ nghỉ trước Giáng sinh, v.v., điều này sẽ không quá đau đớn. Ngoài ra, nhiều công ty còn có tùy chọn truy cập thay thế thông qua VPN.
Những gì đã xảy ra tiếp theo?
Thật không may, vì mọi chuyện sẽ trở nên rõ ràng sau này, các bước trên, vốn là cách tiếp cận tiêu chuẩn, đã bị hầu hết bỏ qua.
Nhiều chuyên gia chịu trách nhiệm về cơ sở hạ tầng Citrix chỉ biết về lỗ hổng này vào ngày 13.01.2020 tháng XNUMX năm XNUMX . Họ phát hiện ra khi một số lượng lớn hệ thống do họ chịu trách nhiệm đã bị xâm phạm. Sự vô lý của tình huống này đã đạt đến mức những thành tựu cần thiết cho việc này có thể hoàn toàn bị bỏ qua. .
Vì lý do nào đó, tôi tin rằng các chuyên gia CNTT đọc thư từ các nhà sản xuất, hệ thống được ủy thác cho họ, biết cách sử dụng Twitter, đăng ký theo dõi các chuyên gia hàng đầu trong lĩnh vực của họ và có nghĩa vụ theo dõi các sự kiện hiện tại.
Trên thực tế, trong hơn ba tuần, nhiều khách hàng của Citrix đã hoàn toàn phớt lờ khuyến nghị của nhà sản xuất. Và khách hàng của Citrix bao gồm hầu hết các công ty lớn và vừa ở Đức, cũng như hầu hết các cơ quan chính phủ. Trước hết, lỗ hổng này ảnh hưởng đến cơ cấu chính phủ.
Nhưng có việc phải làm
Những người có hệ thống bị xâm phạm cần cài đặt lại hoàn toàn, bao gồm cả việc thay thế chứng chỉ TSL. Có lẽ những khách hàng của Citrix mong đợi nhà sản xuất thực hiện hành động tích cực hơn trong việc loại bỏ lỗ hổng nghiêm trọng sẽ nghiêm túc tìm kiếm một giải pháp thay thế. Chúng ta phải thừa nhận rằng phản ứng của Citrix không đáng khích lệ.
Nhiều câu hỏi hơn câu trả lời
Câu hỏi đặt ra là rất nhiều đối tác của Citrix, bạch kim và vàng, đang làm gì? Tại sao thông tin cần thiết chỉ xuất hiện trên trang của một số đối tác Citrix vào tuần thứ 3 năm 2020? Rõ ràng là các chuyên gia tư vấn bên ngoài được trả lương cao cũng đã ngủ quên trong tình huống nguy hiểm này. Tôi không muốn xúc phạm bất kỳ ai, nhưng nhiệm vụ của đối tác chủ yếu là ngăn chặn các vấn đề phát sinh chứ không phải đề nghị = bán sự giúp đỡ để loại bỏ chúng.
Trên thực tế, tình huống này đã cho thấy tình hình thực tế trong lĩnh vực bảo mật CNTT. Cả nhân viên bộ phận CNTT của các công ty và chuyên gia tư vấn của các công ty đối tác Citrix nên hiểu một sự thật: nếu có một lỗ hổng nào đó thì nó phải được loại bỏ. Chà, một lỗ hổng nghiêm trọng phải được loại bỏ ngay lập tức!
Nguồn: www.habr.com