Caro leitor, antes de tudo, gostaria de salientar que, como residente da Alemanha, descrevo principalmente a situação neste país. Talvez no seu país a situação seja radicalmente diferente.
Em 17 de dezembro de 2019, o Citrix Knowledge Center publicou informações críticas de vulnerabilidade nas linhas de produtos Citrix Application Delivery Controller (NetScaler ADC) e Citrix Gateway, popularmente conhecido como NetScaler Gateway.
No futuro, a vulnerabilidade também foi encontrada na linha SD-WAN. A vulnerabilidade afetou todas as versões dos produtos, começando da 10.5 e terminando na atual 13.0, e permitiu que um invasor não autorizado executasse códigos maliciosos no sistema, praticamente transformando o NetScaler em uma plataforma para novos ataques à rede interna.
Juntamente com a publicação de informações sobre vulnerabilidades, a Citrix publicou as Diretrizes da solução alternativa. O fechamento completo da vulnerabilidade foi prometido apenas até o final de janeiro de 2020.
A criticidade desta vulnerabilidade (CVE-2019-19781) foi
classificada em 9,8 pontos em 10 . Segundo
a Positive Technologies, a vulnerabilidade afeta mais de 80.000 empresas em todo o mundo.
Possível reação às notícias
Como pessoa responsável, acreditava que todos os profissionais de TI com os produtos NetScaler em sua infraestrutura faziam o seguinte:
- implementou imediatamente todas as recomendações para minimizar os riscos especificados no artigo CTX267679.
- verifique novamente as configurações do Firewall em termos de tráfego permitido do NetScaler para a rede interna.
- Os administradores de segurança de TI recomendaram prestar atenção às tentativas "incomuns" de acessar o NetScaler e, se necessário, bloqueá-las. Deixe-me lembrá-lo de que o NetScaler geralmente está localizado na DMZ.
- Avaliamos a possibilidade de desconectar temporariamente o NetScaler da rede, até obter informações mais detalhadas sobre o problema. Durante o Natal, férias, etc., isso não seria tão doloroso. Além disso, muitas empresas têm um acesso alternativo via VPN.
O que aconteceu no futuro?
Infelizmente, como se vê mais tarde, as etapas acima, que são a abordagem padrão, foram ignoradas pela maioria.
Muitos especialistas responsáveis pela infraestrutura Citrix aprenderam sobre a vulnerabilidade apenas em 13/01/2020
nas notícias centrais . Eles descobriram quando um grande número de sistemas pelos quais eles eram responsáveis foram comprometidos. O absurdo da situação chegou ao ponto de que as explorações necessárias para isso podem ser
baixadas legalmente na Internet .
Por alguma razão, achei que os especialistas em TI liam boletins dos fabricantes, sistemas a eles confiados, são capazes de usar o twitter, assinam os principais especialistas em seu campo e precisam estar cientes dos eventos atuais.
De fato, por mais de três semanas, vários clientes da Citrix ignoraram completamente as recomendações do fabricante. E os clientes da Citrix são quase todas as grandes e médias empresas na Alemanha, assim como quase todas as agências governamentais. Antes de tudo, a vulnerabilidade afetava as estruturas de estado.
Mas há algo a fazer
Aqueles cujos sistemas foram comprometidos precisam ser completamente reinstalados, incluindo a substituição de certificados TSL. É possível que os clientes da Citrix que esperavam que o fabricante adotasse medidas mais ativas para eliminar a vulnerabilidade crítica procurassem seriamente uma alternativa. Temos que admitir que a reação da Citrix não é animadora.
Mais perguntas do que respostas.
A questão é: o que os muitos parceiros da Citrix, platina e ouro, fizeram? Por que apenas na terceira semana de 2020 as informações necessárias apareceram nas páginas de alguns parceiros da Citrix? Obviamente, consultores externos altamente remunerados também dormiram demais nessa situação perigosa. Não quero ofender ninguém, mas a tarefa do parceiro é, antes de tudo, evitar problemas que surjam e não oferecer = vender ajuda para eliminá-los.
De fato, essa situação mostrou o real estado de coisas no campo da segurança de TI. Tanto os funcionários dos departamentos de TI das empresas quanto os consultores das empresas parceiras da Citrix devem esclarecer uma verdade: se houver uma vulnerabilidade, ela deverá ser eliminada. Bem, uma vulnerabilidade crítica deve ser corrigida imediatamente!