Sehr geehrter Leser, zunächst möchte ich darauf hinweisen, dass ich als Einwohner Deutschlands in erster Linie die Situation in diesem Land beschreibe. Vielleicht ist die Situation in Ihrem Land radikal anders.
Am 17. Dezember 2019 veröffentlichte das Citrix Knowledge Center wichtige Informationen zu Sicherheitslücken in den Produktlinien Citrix Application Delivery Controller (NetScaler ADC) und Citrix Gateway, die im Volksmund als NetScaler Gateway bekannt sind.
Zukünftig wurde die Sicherheitslücke auch in der SD-WAN-Leitung gefunden. Die Sicherheitsanfälligkeit betraf alle Produktversionen, beginnend mit 10.5 und endend mit der aktuellen Version 13.0, und ermöglichte es einem nicht autorisierten Angreifer, bösartigen Code im System auszuführen. Dadurch wurde NetScaler praktisch zu einer Plattform für weitere Angriffe auf das interne Netzwerk.
Zusammen mit der Veröffentlichung von Schwachstelleninformationen veröffentlichte Citrix Workaround-Richtlinien. Die vollständige Schließung der Sicherheitsanfälligkeit wurde erst Ende Januar 2020 zugesagt.
Die Kritikalität dieser Sicherheitsanfälligkeit (CVE-2019-19781) wurde
mit 9,8 von 10 Punkten bewertet .
Positive Technologies zufolge sind weltweit mehr als 80.000 Unternehmen von
der Sicherheitslücke betroffen.
Mögliche Reaktion auf die Nachrichten
Als verantwortliche Person war ich der Meinung, dass alle IT-Experten mit NetScaler-Produkten in ihrer Infrastruktur Folgendes tun:
- Alle Empfehlungen zur Risikominimierung gemäß Artikel CTX267679 wurden sofort umgesetzt.
- Überprüfen Sie die Firewall-Einstellungen hinsichtlich des zulässigen Datenverkehrs von NetScaler zum internen Netzwerk.
- empfohlenen IT-Sicherheitsadministratoren, auf „ungewöhnliche“ Versuche zu achten, auf NetScaler zuzugreifen, und diese gegebenenfalls zu blockieren. Ich möchte Sie daran erinnern, dass sich NetScaler normalerweise in der DMZ befindet.
- Wir haben die Möglichkeit einer vorübergehenden Trennung von NetScaler vom Netzwerk geprüft, bis detailliertere Informationen zum Problem vorliegen. Während Weihnachten, in den Ferien usw. wäre dies nicht so schmerzhaft. Darüber hinaus haben viele Unternehmen einen alternativen Zugang über VPN.
Was ist in der Zukunft passiert?
Wie sich später herausstellt, wurden die oben genannten Schritte, die den Standardansatz darstellen, leider von den meisten ignoriert.
Viele Spezialisten, die für die Citrix-Infrastruktur verantwortlich sind, haben erst am 13.01.2020
aus den zentralen Nachrichten von der Sicherheitslücke erfahren. Sie fanden heraus, wann eine große Anzahl von Systemen, für die sie verantwortlich waren, kompromittiert wurden. Die Absurdität der Situation erreichte den Punkt, dass die dafür notwendigen Exploits
legal im Internet heruntergeladen werden können .
Aus irgendeinem Grund dachte ich, dass IT-Spezialisten Newsletter von Herstellern lesen, ihnen anvertraute Systeme, Twitter nutzen können, führende Experten auf ihrem Gebiet abonniert haben und über aktuelle Ereignisse informiert sein müssen.
Tatsächlich haben zahlreiche Citrix-Kunden seit mehr als drei Wochen die Empfehlungen der Hersteller vollständig ignoriert. Zu den Kunden von Citrix zählen nahezu alle großen und mittleren Unternehmen in Deutschland sowie nahezu alle Regierungsbehörden. Erstens wirkte sich die Verwundbarkeit auf die staatlichen Strukturen aus.
Aber es gibt etwas zu tun
Diejenigen, deren Systeme kompromittiert wurden, müssen komplett neu installiert werden, einschließlich des Austauschs von TSL-Zertifikaten. Es ist möglich, dass diejenigen Citrix-Kunden, die vom Hersteller aktivere Schritte zur Beseitigung kritischer Schwachstellen erwartet haben, ernsthaft nach einer Alternative suchen. Wir müssen zugeben, dass die Reaktion von Citrix nicht ermutigend ist.
Mehr Fragen als Antworten.
Die Frage ist, was haben die vielen Partner von Citrix, Platin und Gold, getan? Warum wurden die erforderlichen Informationen erst in der 3. Woche des Jahres 2020 auf den Seiten einiger Citrix-Partner angezeigt? Offensichtlich haben auch hochbezahlte externe Berater diese gefährliche Situation verschlafen. Ich möchte niemanden beleidigen, aber der Partner hat vor allem die Aufgabe, auftretende Probleme zu vermeiden und keine Hilfe anzubieten = zu verkaufen, um sie zu beseitigen.
Tatsächlich zeigte diese Situation den tatsächlichen Stand der Dinge im Bereich der IT-Sicherheit. Sowohl Mitarbeiter von IT-Abteilungen von Unternehmen als auch Berater von Partnerfirmen von Citrix sollten eine Wahrheit klären, wenn es eine Sicherheitslücke gibt, dann muss diese beseitigt werden. Nun, eine kritische Schwachstelle muss sofort behoben werden!