Cher lecteur, tout d'abord, je voudrais souligner qu'en tant que résident de l'Allemagne, je décris principalement la situation dans ce pays. Dans votre pays, la situation est peut-être radicalement différente.
Le 17 décembre 2019, le centre de connaissances Citrix a publié des informations critiques sur les vulnérabilités dans les gammes de produits Citrix Application Delivery Controller (NetScaler ADC) et Citrix Gateway, communément appelées NetScaler Gateway.
À l'avenir, la vulnérabilité a également été trouvée dans la ligne SD-WAN. La vulnérabilité affectait toutes les versions des produits, à partir de la version 10.5 et se terminant par la version 13.0 actuelle, et permettait à un attaquant non autorisé d'exécuter du code malveillant dans le système, transformant pratiquement NetScaler en une plate-forme pour de nouvelles attaques sur le réseau interne.
Parallèlement à la publication d'informations sur les vulnérabilités, Citrix a publié des directives de contournement. La fermeture complète de la vulnérabilité n'a été promise que fin janvier 2020.
La criticité de cette vulnérabilité (CVE-2019-19781) a été
évaluée à 9,8 points sur 10 . Selon
Positive Technologies, la vulnérabilité affecte plus de 80 000 entreprises dans le monde.
Réaction possible aux nouvelles
En tant que personne responsable, je pensais que tous les professionnels de l'informatique possédant des produits NetScaler dans leur infrastructure faisaient ce qui suit:
- a immédiatement mis en œuvre toutes les recommandations pour minimiser les risques spécifiés dans l'article CTX267679.
- revérifié les paramètres du pare-feu en termes de trafic autorisé de NetScaler vers le réseau interne.
- a recommandé aux administrateurs de la sécurité informatique de prêter attention aux tentatives «inhabituelles» d'accéder à NetScaler et, si nécessaire, de les bloquer. Permettez-moi de vous rappeler que NetScaler est généralement situé dans la DMZ.
- Nous avons évalué la possibilité de déconnecter temporairement NetScaler du réseau, jusqu'à l'obtention d'informations plus détaillées sur le problème. Pendant Noël, les vacances, etc., ce ne serait pas si douloureux. De plus, de nombreuses entreprises ont un accès alternatif via VPN.
Que s'est-il passé à l'avenir?
Malheureusement, comme il s'avère plus tard, les étapes ci-dessus, qui constituent l'approche standard, ont été ignorées par la plupart.
De nombreux spécialistes responsables de l'infrastructure Citrix n'ont été informés de la vulnérabilité que le 13/01/2020
grâce aux nouvelles centrales . Ils ont découvert qu'un grand nombre de systèmes dont ils étaient responsables ont été compromis. L'absurdité de la situation a atteint le point que les exploits nécessaires peuvent être
téléchargés en toute
légalité sur Internet .
Pour une raison quelconque, je pensais que les informaticiens lisent les newsletters des fabricants, les systèmes qui leur sont confiés, peuvent utiliser Twitter, sont abonnés à des experts de premier plan dans leur domaine et doivent être informés de l'actualité.
En fait, depuis plus de trois semaines, de nombreux clients Citrix ont complètement ignoré les recommandations des fabricants. Et les clients Citrix sont presque toutes les grandes et moyennes entreprises en Allemagne, ainsi que presque toutes les agences gouvernementales. Tout d'abord, la vulnérabilité a affecté les structures étatiques.
Mais il y a quelque chose à faire
Ceux dont les systèmes ont été compromis doivent être complètement réinstallés, y compris le remplacement des certificats TSL. Il est possible que les clients Citrix qui s'attendaient à ce que le fabricant prenne des mesures plus actives pour éliminer la vulnérabilité critique chercheraient sérieusement une alternative. Nous devons admettre que la réaction de Citrix n'est pas encourageante.
Plus de questions que de réponses.
La question est, qu'ont fait les nombreux partenaires de Citrix, platine et or? Pourquoi seulement la 3ème semaine de 2020 les informations nécessaires sont-elles apparues sur les pages de certains partenaires Citrix? De toute évidence, des consultants externes très bien rémunérés ont également surpassé cette situation dangereuse. Je ne veux offenser personne, mais la tâche du partenaire est, tout d’abord, d’éviter les problèmes qui surviennent et de ne pas offrir = vendre de l’aide pour les éliminer.
En fait, cette situation a montré la situation réelle dans le domaine de la sécurité informatique. Les employés des services informatiques des entreprises et les consultants des entreprises partenaires de Citrix devraient clarifier une vérité, s'il y a une vulnérabilité, elle doit être éliminée. Eh bien, une vulnérabilité critique doit être corrigée immédiatement!