Według firmy Positive Technologies zagrożonych było ponad 80 000 firm w 158 krajach. W ciągu niecałej minuty atakujący z zewnątrz mogli dostać się do wewnętrznych sieci firm.
Pod koniec grudnia 2019 r. Citrix przyznał, że w oprogramowaniu Application Delivery Controller i Gateway została odkryta poważna luka. Według rzecznika Citrix, firma podjęła środki w celu jej usunięcia, równocześnie zalecając swoim klientom podjęcie szeregu kroków, które miały za zadanie zneutralizować ataki. Citrix od kilku tygodni pracował nad poprawką kodu, aby wyeliminować problem.
Krytyczną lukę w zabezpieczeniach Citrix Application Delivery Controller¹ (NetScaler ADC) i Citrix Gateway (NetScaler Gateway) odkrył Mikhail Klyuchnikov, ekspert Positive Technologies. Krytyczna luka została ujawniona w grudniu 2019, tuż przed świętami Bożego Narodzenia. „Jeśli ta luka zostanie wykorzystana, osoby atakujące za pośrednictwem Internetu uzyskają bezpośredni dostęp do sieci lokalnej firmy. Ten atak nie wymaga dostępu do żadnych kont, dlatego może go wykonać dowolny podmiot z zewnątrz” – czytamy na blogu firmy.
Eksperci Positive Technologies ustalili, że rozmiar potencjalnego zagrożenia obejmuje co najmniej 80 000 firm w 158 krajach.
Dalsze badania przeprowadzone przez Bad Packets ujawniły, że zagrożonych było prawie 10 000 serwerów Citrix w USA, ponad 2 500 w Niemczech, około 2 000 w Wielkiej Brytanii i ponad 1 100 w Australii i Szwajcarii.
Do odkrytej luki został przypisany identyfikator CVE-2019-19781. Producent początkowo nie przyznał oficjalnie poziomu ważności CVSS tej usterce, ale eksperci Positive Technologies uznali, że miała ona najwyższy poziom, 10². Luka ta dotyczyła wszystkich obsługiwanych wersji produktu i wszystkich obsługiwanych platform, w tym Citrix ADC i Citrix Gateway 13.0, Citrix ADC i NetScaler Gateway 12.1, Citrix ADC i NetScaler Gateway 12.0, Citrix ADC i NetScaler Gateway 11.1, a także Citrix NetScaler ADC i NetScaler Gateway 10.5.
W zależności od konkretnej konfiguracji aplikacje Citrix mogą być używane do łączenia się ze stacjami roboczymi i krytycznymi systemami biznesowymi (w tym ERP). Niemal w każdym przypadku aplikacje Citrix są dostępne na obwodzie sieci firmowej i dlatego są atakowane jako pierwsze. Ta luka umożliwiała każdej nieautoryzowanej osobie nie tylko dostęp do opublikowanych aplikacji, ale także atakowanie innych zasobów wewnętrznej sieci firmy z serwera Citrix.
Troy Mursch, analityk z Bad Packets, stwierdził na blogu, że podmioty wykorzystujące tę lukę mogły posłużyć się tą podatnością do różnych celów, w tym do rozprzestrzeniania oprogramowania ransomware i instalowania kryptomerów. Wiele zainfekowanych serwerów można również wykorzystać i przekształcić w komponenty rozproszonego ataku typu „odmowa usługi” (DDoS).
Inni analitycy ds. bezpieczeństwa ujawnili, że aktywność skanowania ukierunkowana na wrażliwe serwery Citrix dramatycznie wzrosła w ciągu ostatnich kilku tygodni, choć niekoniecznie ma to związek ze wspomnianym zagrożeniem.
Należy jednak przyznać, że Citrix zareagował dość szybko wydając zestaw środków mających na celu złagodzenie skutków tej wady i zalecając natychmiastową aktualizację wszystkich wrażliwych wersji oprogramowania do zalecanych.
W związku z aktualizacją Fermin Serna z Citrix powiedział: „Natychmiast rozpoczęliśmy proces reagowania na zagrożenie bezpieczeństwa, który obejmuje między innymi analizę wariantów potencjalnych niepożądanych sytuacji. Opublikowaliśmy poradnik bezpieczeństwa ze szczegółowymi sposobami łagodzenia skutków tej luki. Te sposoby ograniczenia skutków dotyczą wszystkich obsługiwanych wersji i zawierają szczegółowe kroki mające na celu powstrzymanie potencjalnego ataku we wszystkich znanych scenariuszach. Aktualnie pracujemy nad opracowaniem stałych poprawek.” – dodał Sterna w styczniu 2020 r.
Do tej pory producentowi udało się opublikować stałe poprawki dla wszystkich obsługiwanych wersji ADC, Gateway i SD-WAN WANOP, w tym ostatnio stałą poprawkę dla Citrix Application Delivery Controller (ADC) w wersji 10.5. Tym samym kryzys związany z poważną luką zidentyfikowaną w oprogramowaniu Citrix wydaje się być zażegnany.
„Aplikacje Citrix są szeroko stosowane w sieciach korporacyjnych. Zapewniają one pracownikom dostęp terminalowy do wewnętrznych aplikacji firmowych z dowolnego urządzenia przez Internet. Biorąc pod uwagę wysokie ryzyko związane z wykrytą luką oraz jak rozpowszechnione jest oprogramowanie Citrix w środowisku biznesowym, zalecamy, aby specjaliści ds. bezpieczeństwa IT podjęli natychmiastowe kroki w celu ograniczenia zagrożenia ”, mówił Dmitry Serebryannikov, dyrektor Departamentu Kontroli Bezpieczeństwa, Positive Technologies. „Chcemy podkreślić, że sprzedawca zareagował bardzo szybko, tworząc i wprowadzając zestaw środków zmniejszających ryzyko w ciągu kilku tygodni po wykryciu luki.”.
Według Positive Technologies firmy mogą wykorzystywać zapory sieciowe aplikacji internetowych do obrony przed atakami.
Aby odpierać potencjalne ataki, firmy mogły również korzystać z zapór sieciowych. Na przykład PT Application Firewall może wykryć taki atak od razu po uruchomieniu. System musi być ustawiony tak, aby blokował wszystkie niebezpieczne żądania w celu zapewnienia ochrony w czasie rzeczywistym. Biorąc pod uwagę, jak długo istniała ta luka (od czasu wydania pierwszej wrażliwej wersji oprogramowania w 2014 r.), wykrycie potencjalnego wykorzystania tej luki (a tym samym naruszenia infrastruktury) jest równie ważne. Od 18 grudnia 2019 r. Użytkownicy PT Network Attack Discovery mogą stosować specjalne reguły wykrywające próby wykorzystania tej luki w Internecie.
To nie pierwszy raz, gdy eksperci Positive Technologies wykrywają lukę w oprogramowaniu Citrix. W 2012 r. wykryli oni i pomogli w wyeliminowaniu wielu luk w zabezpieczeniach Citrix XenServer. Jak podkreśla Positive Technologies luki o takim stopniu ważności nie są często spotykane w produktach wiodących producentów oprogramowania. W takim przypadku częstotliwość może wynosić od pięciu do dziesięciu lat. Poważne ryzyko zatem istnieje.
źródła:
Przypominamy, że oprogramowanie TSplus jest najlepszą obecnie i najbardziej opłacalną alternatywą dla Citrix. Nasze rozwiązania zostały w ubiegłym roku docenione przez magazyn CIOReview. Oferujemy również niezawodne narzędzie do ochrony serwerów TSplus Advanced Security, które jest idealnym uzupełnieniem bazowego produktu TSplus.
You must be logged in to post a comment.