Bezpieczeństwo

Luka w Citrix pozwalała przestępcom włamać się do sieci 80 000 firm

2 min czytania

Według firmy Positive Technologies zagrożonych było ponad 80 000 firm w 158 krajach. W ciągu niecałej minuty atakujący z zewnątrz mogli dostać się do wewnętrznych sieci firm. Pod koniec grudnia 2019 r. Citrix przyznał, że w oprogramowaniu Application Delivery Controller i Gateway została odkryta poważna luka. Według rzecznika Citrix, firma podjęła środki w celu jej

Według firmy Positive Technologies zagrożonych było ponad 80 000 firm w 158 krajach. W ciągu niecałej minuty atakujący z zewnątrz mogli dostać się do wewnętrznych sieci firm.

Pod koniec grudnia 2019 r. Citrix przyznał, że w oprogramowaniu Application Delivery Controller i Gateway została odkryta poważna luka. Firma podjęła środki w celu jej usunięcia, równocześnie zalecając swoim klientom podjęcie szeregu kroków mających zneutralizować ataki.

Krytyczną lukę w zabezpieczeniach Citrix Application Delivery Controller (NetScaler ADC) i Citrix Gateway (NetScaler Gateway) odkrył Mikhail Klyuchnikov, ekspert Positive Technologies.

Jeśli ta luka zostanie wykorzystana, osoby atakujące za pośrednictwem Internetu uzyskają bezpośredni dostęp do sieci lokalnej firmy. Ten atak nie wymaga dostępu do żadnych kont.

Eksperci Positive Technologies ustalili, że rozmiar potencjalnego zagrożenia obejmuje co najmniej 80 000 firm w 158 krajach. Badania przeprowadzone przez Bad Packets ujawniły, że zagrożonych było prawie 10 000 serwerów Citrix w USA, ponad 2 500 w Niemczech, około 2 000 w Wielkiej Brytanii i ponad 1 100 w Australii i Szwajcarii.

Do odkrytej luki został przypisany identyfikator CVE-2019-19781. Eksperci Positive Technologies uznali, że miała ona najwyższy poziom ważności (10 w skali CVSS). Luka dotyczyła wszystkich obsługiwanych wersji produktu i wszystkich obsługiwanych platform, w tym Citrix ADC i Citrix Gateway 13.0, Citrix ADC i NetScaler Gateway 12.1, 12.0, 11.1, a także Citrix NetScaler ADC i NetScaler Gateway 10.5.

Wykorzystanie luki

W zależności od konkretnej konfiguracji aplikacje Citrix mogą być używane do łączenia się ze stacjami roboczymi i krytycznymi systemami biznesowymi (w tym ERP). Aplikacje Citrix są dostępne na obwodzie sieci firmowej i dlatego są atakowane jako pierwsze. Luka umożliwiała każdej nieautoryzowanej osobie nie tylko dostęp do opublikowanych aplikacji, ale także atakowanie innych zasobów wewnętrznej sieci firmy z serwera Citrix.

Troy Mursch, analityk z Bad Packets, stwierdził, że podmioty wykorzystujące tę lukę mogły posłużyć się tą podatnością do rozprzestrzeniania oprogramowania ransomware i instalowania kryptomerów. Wiele zainfekowanych serwerów można było również wykorzystać i przekształcić w komponenty rozproszonego ataku typu odmowa usługi (DDoS).

Reakcja Citrix

Należy przyznać, że Citrix zareagował dość szybko, wydając zestaw środków mających na celu złagodzenie skutków tej wady i zalecając natychmiastową aktualizację wszystkich wrażliwych wersji oprogramowania.

Fermin Serna z Citrix powiedział:

Natychmiast rozpoczęliśmy proces reagowania na zagrożenie bezpieczeństwa. Opublikowaliśmy poradnik bezpieczeństwa ze szczegółowymi sposobami łagodzenia skutków tej luki.

Do tej pory producentowi udało się opublikować stałe poprawki dla wszystkich obsługiwanych wersji ADC, Gateway i SD-WAN WANOP, w tym ostatnio stałą poprawkę dla Citrix Application Delivery Controller w wersji 10.5.

Zalecenia dla firm

Dmitry Serebryannikov, dyrektor Departamentu Kontroli Bezpieczeństwa Positive Technologies, powiedział:

Biorąc pod uwagę wysokie ryzyko związane z wykrytą luką oraz jak rozpowszechnione jest oprogramowanie Citrix w środowisku biznesowym, zalecamy, aby specjaliści ds. bezpieczeństwa IT podjęli natychmiastowe kroki w celu ograniczenia zagrożenia.

Według Positive Technologies firmy mogą wykorzystywać zapory sieciowe aplikacji internetowych do obrony przed atakami. PT Application Firewall może wykryć taki atak od razu po uruchomieniu. Od 18 grudnia 2019 r. użytkownicy PT Network Attack Discovery mogą stosować specjalne reguły wykrywające próby wykorzystania tej luki w Internecie.

Tagi

citrix luka bezpieczeństwa cyberbezpieczeństwo netscaler atak infrastruktura it tsplus