Estimado lector, en primer lugar, me gustaría señalar que, como residente de Alemania, describo principalmente la situación en este país. Quizás en su país la situación es radicalmente diferente.
El 17 de diciembre de 2019, el Centro de conocimiento de Citrix publicó información de vulnerabilidad crítica en las líneas de productos Citrix Application Delivery Controller (NetScaler ADC) y Citrix Gateway, popularmente conocidas como NetScaler Gateway.
En el futuro, la vulnerabilidad también se encontró en la línea SD-WAN. La vulnerabilidad afectó a todas las versiones de productos, comenzando desde 10.5 y terminando con la actual 13.0, y permitió que un atacante no autorizado ejecutara código malicioso en el sistema, convirtiendo prácticamente a NetScaler en una plataforma para ataques adicionales en la red interna.
Junto con la publicación de información sobre vulnerabilidades, Citrix publicó Pautas para soluciones provisionales. El cierre completo de la vulnerabilidad se prometió solo a fines de enero de 2020.
La criticidad de esta vulnerabilidad (CVE-2019-19781) se
calificó con 9.8 puntos sobre 10 . Según
Positive Technologies, la vulnerabilidad afecta a más de 80,000 empresas en todo el mundo.
Posible reacción a las noticias.
Como persona responsable, creía que todos los profesionales de TI con productos NetScaler en su infraestructura hacían lo siguiente:
- implementó de inmediato todas las recomendaciones para minimizar el riesgo especificado en el artículo CTX267679.
- verificó dos veces la configuración del Firewall en términos de tráfico permitido de NetScaler a la red interna.
- recomienda a los administradores de seguridad de TI que presten atención a los intentos "inusuales" de acceder a NetScaler y, si es necesario, los bloqueen. Permítame recordarle que NetScaler generalmente se encuentra en la DMZ.
- Evaluamos la posibilidad de desconectar temporalmente NetScaler de la red, hasta obtener información más detallada sobre el problema. Durante Navidad, vacaciones, etc., esto no sería tan doloroso. Además, muchas empresas tienen un acceso alternativo a través de VPN.
¿Qué pasó en el futuro?
Desafortunadamente, como resulta más tarde, la mayoría de los pasos anteriores, que son el enfoque estándar, han sido ignorados.
Muchos especialistas responsables de la infraestructura de Citrix se enteraron de la vulnerabilidad solo el 13/01/2020
en las noticias centrales . Descubrieron cuando una gran cantidad de sistemas de los que eran responsables estaban comprometidos. Lo absurdo de la situación llegó al punto de que las hazañas necesarias para esto pueden
descargarse legalmente en Internet .
Por alguna razón, pensé que los especialistas de TI leen los boletines de los fabricantes, los sistemas que se les confían, pueden usar Twitter, están suscritos a expertos líderes en su campo y deben estar al tanto de los eventos actuales.
De hecho, durante más de tres semanas, numerosos clientes de Citrix han ignorado por completo las recomendaciones del fabricante. Y los clientes de Citrix son casi todas empresas grandes y medianas en Alemania, así como casi todas las agencias gubernamentales. En primer lugar, la vulnerabilidad afectó las estructuras estatales.
Pero hay algo que hacer
Aquellos cuyos sistemas han sido comprometidos necesitan ser reinstalados por completo, incluido el reemplazo de los certificados TSL. Es posible que aquellos clientes de Citrix que esperaban que el fabricante tomara medidas más activas para eliminar vulnerabilidades críticas buscarían seriamente una alternativa. Tenemos que admitir que la reacción de Citrix no es alentadora.
Más preguntas que respuestas.
La pregunta es, ¿qué hicieron los muchos socios de Citrix, platino y oro? ¿Por qué solo en la tercera semana de 2020 apareció la información necesaria en las páginas de algunos socios de Citrix? Obviamente, consultores externos altamente remunerados también se quedaron dormidos en esta peligrosa situación. No quiero ofender a nadie, pero la tarea del socio es, en primer lugar, evitar los problemas que surjan y no ofrecer ayuda de venta para eliminarlos.
De hecho, esta situación mostró el estado real de las cosas en el campo de la seguridad de TI. Tanto los empleados de los departamentos de TI de las empresas como los consultores de las firmas asociadas de Citrix deben aclarar una verdad, si existe una vulnerabilidad, entonces debe eliminarse. Bueno, ¡una vulnerabilidad crítica debe repararse de inmediato!